Menú principal

lunes, 1 de diciembre de 2014

AlienSpy: Una Rata (R.A.T.) en Java que infecta OS X

AlienSpy es una R.A.T. (Remote Administration Tool) que está basada en el popular Frutas y Unrecom/Adwind, que ha estado circulando por la red durante este años de 2014. Según parece este tipo de malware se utilizará en las mismas campañas en las que fue utilizado Unrecom / Adwind. Este RAT es multiplataforma y se instala tanto en sistemas operativos OS X como Linux. Para saber como funciona es muy interesante ver el tráfico de una captura de red en formato pcap y la información que se puede obtener. En el análisis que desde Contagio se ha realizado podemos ver, tras un volcado de las strings que existen en memoria en el proceso de la RAT, diversos datos interesantes para un analista.

Por ejemplo, con el análisis de cadenas de una muestra se puede ver cuál es la dirección IP del panel de control a la que la RAT se conecta y el dominio en concreto. En este caso concreto analizado por ellos, el país es Estados Unidos, lo cual puede llamar la atención. Las direcciones IP encontradas son las siguientes:
  • 204.45.207.40 con hostname 212.clients.instantdedis.com.
  • 38.89.137.248.
La RAT está formada por los siguientes ficheros que son transfer.java, paymentadvice.jar, purchase order.java y purchaseorder.java, que aunque se denominen igual, hay que notar que no son el mismo fichero.

Figura 1: MD5 de los ficheros de esta RAT para que los puedas buscar en repositorios

La información sobre las evidencias y la RAT que han sido publicadas están disponibles en los siguientes enlaces:
Todas las capturas de tráfico recogidas por los investigadores muestran que el tráfico de AlienSpy tiene campos idénticos, siguiendo un flujo GZIP, mientras que en OS X tienen distintos datos. Los archivos JAR que tienen el payload no tienen ningún malware empaquetado.

Figura 2: Captura de tráfico OS X Lion

Para evitar caer en infecciones de RATs escritas en Java en sistemas OS X es recomendable tener actualizado el sistema operativo, tener un antimalware en tiempo real y, más que recomendable, tener fortificadas las opciones de Java.

3 comentarios:

  1. Buenos días:

    En los archivos donde esta los jar y los pcap, tienen contraseña previa..podeis decirla?

    Saludos

    ResponderEliminar
  2. Hola @EquipoTSS

    Para saber la password debes contactar vía email con Mila (https://www.blogger.com/profile/09472209631979859691).

    Un saludo!

    ResponderEliminar
  3. Este comentario ha sido eliminado por el autor.

    ResponderEliminar

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares