Las funciones de MacSpy según los autores, para la versión gratuita, son las típicas que podemos encontrar en otro tipo de RAT. Destaca, quizá, la sincronización con iCloud, las grabaciones de voz, la captura de pulsaciones de teclado, así como la captura cada 30 segundos del fondo de pantalla. En la imagen se puede visualizar las funciones ofertadas para la versión de demo.
 |
| Figura 1: Características de la versión gratuita de MacSpy |
Si observamos las funciones avanzadas de MacSpy, es decir, en la versión de pago, tenemos la posibilidad de ajustar el tiempo para las capturas de grabaciones y de pantalla que realice el software, cifrar un directorio en pocos segundos, quizá sea una funcionalidad optativa para un ataque ransom. Acceso a los emails y cuentas de redes sociales, capturar todos los archivos generados durante ese día y robarlos, etcétera.
Los comapñeros de AlienVault han analizado MacSpy. Se han dado de alta en MacSpy para estudiar el funcionamiento. Recibieron un correo electrónico en el que se proporciona las instrucciones, así como un archivo comprimido. Una vez se descomprime el archivo se observa que hay cuatro archivos: un binario de 64 bits denominado updated, otro binario de 64 bits llamado webkitproxy, otro archivo que es una librería llamado libevent-2.0.5.dylib y un archivo de configuración.
 |
| Figura 2: Correo electrónico enviado por MacSpy |
La librería y el fichero webkitproxy están firmados por Tor, por lo que están relacionados con la función de Tor Onion. Los contenidos del archivo de configuración son una serie de directivas que tienen que ver con la configuración que tendrá MacSpy en su ejecución. El binario updated fue pasado por Virus Total obteniendo un resultado de 0 detecciones. El binario no está firmado digitalmente.
MacSpy tiene varias contramedidas que dificultan los esfuerzos del análisis. Para evitar la depuración, llama a ptrace() con la opción PT_DENY_ATTACH. Se trata de una comprobación anti-depurador común, la cual evita que los depuradores se unan al proceso. Además, MacSpy tiene código adicional que comprueba si se está ejecutando en un depurador. Además, MacSpy contiene comprobaciones contra el entorno de ejecución que pueden dificultar su ejecución en una máquina virtual. MacSpy también tiene opciones de persistencia, y lo hace a través de la creación de una entrada en la ruta $HOME/Library/LaunchAgents/com.apple.webkit.plist. Esto garantiza que el malware se ejecutará al inicio con el objetivo de continuar recopilando información.
MacSpy es una pieza interesante y un modelo de MaaS que, probablemente, comencemos a ver más en los próximos meses o años. Siempre se ha pensado que los usuarios de Mac están libres de malware, pero como puede verse el malware sigue aumentando en estos equipos. Seguiremos atentos a posibles noticias relacionadas con malware en sistemas Mac.
No hay comentarios:
Publicar un comentario