Menú principal

miércoles, 26 de junio de 2019

Detectan un nuevo malware para Mac (que aprovecha la vulnerabilidad de Gatekeeper) cuando los creadores subieron muestras a VirusTotal

Hace unos días ya contamos que había aparecido una vulnerabilidad que permitía realizar un bypass de la comprobación que realiza Gatekeeper para ver si un código está verificado o no, permitiendo así su ejecución. Pues como esta vulnerabilidad no ha sido aún solucionada por Apple, era cuestión de tiempo que apareciera un malware que explotara dicho bypass. Lo curioso es que los mismos creadores se han delatado al subir muestras a VirusTotal para comprobar si este detectaba algo anómalo.

El 6 de junio, la empresa Intego detectó que se habían subido a VirusTotal varios ficheros tipo imagen (.dmg) con formato ISO 9660 y Apple Disk Image, las cuales contenían evidencias de un intento de explotar la vulnerabilidad de Gatekeeper en este formato de imágenes de disco. Esta maniobra de utilizar imágenes posiblemente fuera un intento de evitar la detección de este código malicioso por parte de programa antivirus. El nombre con el que se ha bautizado a este nuevo malware es OSX/Linker.

Figura 1. Información ofrecida por VirusTotal sobre la subida de las muestras. Fuente.

Analizando las muestras subidas a VirusTotal, los investigadores han detectado que las imágenes fueron creadas pocas horas antes de dicha subida y que además estaban vinculadas con un servidor NFS conectado a Internet. Todas las muestras se subieron de forma anónima, la primera de ellas por alguien que aparentemente estaba ubicado en Israel o al menos, la IP correspondía a dicho país (aunque es muy posible que estuviera enmascarada). Las otras tres aparentemente fueron se subieron desde Estados Unidos.

El servidor NFS detectado, su dirección IP pertenece a Softlayer, parte del Cloud de IBM. Parece ser que la aplicación estuvo ubicada durante un tiempo antes de ser eliminada. Dado que dicho servidor no estaba disponible, la aplicación tampoco lo estaba por lo tanto ¿cómo se supo que el software era malicioso?. Las pistas que llevaron a la conclusión que se trata de un malware fueron en primer lugar que las imágenes estaban camufladas como instaladores de Adobe Flash Player (una de las formas más comunes que se usan para engañar al usuario). En este vídeo se puede observar una PoC de este exploit:




Por otro lado, la cuarta imagen estaba firmada con un ID de desarrollador de Apple llamado "Mastyra Fenny" (2PVD64XRF3), el cual ya se ha utilizado antes para firmar otros archivos falsos que se hacían pasar por los antes comentados Adoble Flash Player y que están asociados a la familia de adware OSX/Surfbuyer. Intego ya ha informado a Apple para que revoque el certificado de este ID.

Mientras esperamos que se resuelva este problema de seguridad, no vendría mal comprobar si en nuestra red ha habido algún equipo que se haya conectado a la IP 108.168.175.167 utilizando los puertos NFS (TCP/UDP 111, 875 o TCP 2049) entre las fechas del 24 de mayo y el 18 de junio. Seguiremos informando de este primer intento de crear un malware utilizando la vulnerabilidad de Gatekeeper.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares