El archivo .client es un script en perl ofuscado. Este script se encarga de comunicar con los servidores C&C y se conocen las direcciones y dominios a los que se conectan. El dominio eidk.hopto.org es admnistrador por el servicio DNS dinámico no-ip. El script también incluye código para tomar capturas de pantalla a través de comandos de shell. Curiosamente, se tiene un código para hacer esto utilizando el comando screencapture en Mac y el comando xwd en Linux. También puede obtener otros datos de interés del sistema.
 |
| Figura 1: Configuración del malware |
La parte más interesante del script puede encontrarse en la sección __DATA__. Se encuentra un binario Mach-O, un segundo script de perl y una clase de Java. En la carpeta /tmp se escribe esto y se ejecuta. En el caso de la clase de Java, se ejecuta con apple.awt.UIElement establecido en true, lo cual significa que no aparece en el Dock. El binario en sí parece interesado, sobretodo, en conseguir capturas de pantalla y acceso a la cámara web, tal y como se ve en el análisis de los investigadores de MalwareBytes.
La clase Java parece ser capaz de recibir comandos para realizar varias tareas, que incluyen otro método para capturar la pantalla, obtener el tamaño de la pantalla y la posición del cursor. Esta clase parece estar destinada a proporcionar una clase de funcionalidad de control remoto rudimentaria. MalwareBytes detectó este malware como OSX.Backdoor.Quimitchin, debudo a que los quimitchin eran espías aztecas que se infiltraban en otras tribus. Apple llamada a este malware Fruitfly y ha lanzado una actualización que se descargará automáticamente para proteger futuras infecciones.
No hay comentarios:
Publicar un comentario