Detectan un nuevo malware para Mac (que aprovecha la vulnerabilidad de Gatekeeper) cuando los creadores subieron muestras a VirusTotal

Hace unos días ya contamos que había aparecido una vulnerabilidad que permitía realizar un bypass de la comprobación que realiza Gatekeeper para ver si un código está verificado o no, permitiendo así su ejecución. Pues como esta vulnerabilidad no ha sido aún solucionada por Apple, era cuestión de tiempo que apareciera un malware que explotara dicho bypass. Lo curioso es que los mismos creadores se han delatado al subir muestras a VirusTotal para comprobar si este detectaba algo anómalo.

El 6 de junio, la empresa Intego detectó que se habían subido a VirusTotal varios ficheros tipo imagen (.dmg) con formato ISO 9660 y Apple Disk Image, las cuales contenían evidencias de un intento de explotar la vulnerabilidad de Gatekeeper en este formato de imágenes de disco. Esta maniobra de utilizar imágenes posiblemente fuera un intento de evitar la detección de este código malicioso por parte de programa antivirus. El nombre con el que se ha bautizado a este nuevo malware es OSX/Linker.

Figura 1. Información ofrecida por VirusTotal sobre la subida de las muestras. Fuente.

Analizando las muestras subidas a VirusTotal, los investigadores han detectado que las imágenes fueron creadas pocas horas antes de dicha subida y que además estaban vinculadas con un servidor NFS conectado a Internet. Todas las muestras se subieron de forma anónima, la primera de ellas por alguien que aparentemente estaba ubicado en Israel o al menos, la IP correspondía a dicho país (aunque es muy posible que estuviera enmascarada). Las otras tres aparentemente fueron se subieron desde Estados Unidos.

El servidor NFS detectado, su dirección IP pertenece a Softlayer, parte del Cloud de IBM. Parece ser que la aplicación estuvo ubicada durante un tiempo antes de ser eliminada. Dado que dicho servidor no estaba disponible, la aplicación tampoco lo estaba por lo tanto ¿cómo se supo que el software era malicioso?. Las pistas que llevaron a la conclusión que se trata de un malware fueron en primer lugar que las imágenes estaban camufladas como instaladores de Adobe Flash Player (una de las formas más comunes que se usan para engañar al usuario). En este vídeo se puede observar una PoC de este exploit:

Por otro lado, la cuarta imagen estaba firmada con un ID de desarrollador de Apple llamado "Mastyra Fenny" (2PVD64XRF3), el cual ya se ha utilizado antes para firmar otros archivos falsos que se hacían pasar por los antes comentados Adoble Flash Player y que están asociados a la familia de adware OSX/Surfbuyer. Intego ya ha informado a Apple para que revoque el certificado de este ID.

Mientras esperamos que se resuelva este problema de seguridad, no vendría mal comprobar si en nuestra red ha habido algún equipo que se haya conectado a la IP 108.168.175.167 utilizando los puertos NFS (TCP/UDP 111, 875 o TCP 2049) entre las fechas del 24 de mayo y el 18 de junio. Seguiremos informando de este primer intento de crear un malware utilizando la vulnerabilidad de Gatekeeper.

OSX.Dummy: El peligro viene por Slack y Discord en macOS

El malware denominado OSX.Dummy utiliza un método de infección poco sofisticado, pero los usuarios que son atacados con éxito abren sus sistemas hasta la ejecución de código remota. Este malware tiene como objetivo ususarios que utilizan criptomonedas y que, además, utilizan plataformas como Slack y Discord. El investigador y experto en ciberseguridad Patrick Wardle comentó que el malware tiene privilegios de root, por lo que cuando éste conecta con el C2, se tiene un entorno privilegiado.

También comentó Wardle que se han visto varios ataques de malware en macOS que se originan en grupos de chats de Slack o Discord. Los atacantes seducen a los usuarios para que ejecuten un script que a su vez descarga el malware de 34 MB OSX.Dummy a través de cURL. La descarga se guarda en el directorio de macOS /tmp/script y luego se ejecuta. El archivo es un gran binario de 34 MB, el cual tiene 0 de 60 en VirusTotal. El script solía engañar a las víctimas para descargar el OSX.Dummy. El binario no está firmado, indica Wardle, agregando que el malware puede eludir Gatekeeper. Es curioso que este binario sería bloqueado por Gatekeeper, pero al ser un binario descargado y ejecutado desde la terminal de comandos, Gatekeeper no entra en juego, por lo que se permite ejecutar el software sin firmar. 

Figura 1: Snippet para ejecutar el script

A medida que se ejecuta el código binario, se hace uso de sudo, por lo que se necesita que el usuario introduzca sus credenciales en el terminal. A partir de ahí, el malware arroja código en varios directorios macOS, incluido /Library/LaunchDaemons/com.startup.plist, lo cual le proporciona a OSX.Dummy la persistencia. El script bash intenta conectarse a una dirección IP, la cual es 185.243.115.230 al puerto 1337. Wardle señala que si el ataque tiene éxito y el malware puede conectarse al C2, el atacante puede tomar el control del sistema objetivo.

Un bug para engañar a aplicaciones de seguridad haciéndose pasar por software firmado por Apple

Recientemente se ha sabido de la existencia de un bug en algunos programas de seguridad de terceros para Mac, algunos de estos programas provienen de Facebook, Google o VirusTotal y permitirían la aparición de malware simulando ser programas legítimos y firmados por Apple. Cuando un desarrollador firma una aplicación, esto integra en ella una firma que puede utilizarse para verificar que la aplicación es legítima, que no ha sido manipulada y que pertenece a la organización o al developer que esperabas. Algunas herramientas de seguridad se basan en estas firmas para añadir a su “lista blanca” varios programas o ejecutables para asegurar a sus usuarios que no correrán ningún riesgo a la hora de ejecutarlos.

Si el software que queremos instalar está firmado por Apple esto nos generará una sensación de seguridad ya que aparentemente no dañaremos nuestro dispositivo, en cambio si el software que queremos instalar no está firmado nos lo pensaremos dos veces. Según Josh Pitts, investigador de seguridad en Okta, este bug podría utilizarse para desarrollar malware especializado capaz de engañar a varias aplicaciones de terceros haciéndolas pensar que está firmado por Apple. Según Pitts solo sería necesario un archivo FAT malicioso ya que estas aplicaciones no analizan todos los componentes de este tipo de archivos para comprobar si la firma es válida, lo que hacen estos programas es comprobar solo el primero de los binarios del archivo FAT, el cual sí que será legítimo y firmado por Apple, confiando ya en el resto de binarios y añadiéndola a la whitelist.

Figura 1: CVE del bug asociado a la aplicación de Google

Tras su descubrimiento Pitts contactó con Apple para informar a la compañía californiana del problema, a lo que Apple respondió diciendo que los desarrolladores de las aplicaciones de terceros necesitan realizar trabajos adicionales para verificar que todos los binarios de un FAT son legítimos. Después de esto, tanto Okta como Pitts contactaron con el CERT para que este informase del incidente y proporcionase a todas las aplicaciones de terceros un paquete FAT modificado con el que poder probar la seguridad de sus productos. Tras comprobar que se habían visto afectadas, algunas de las compañías, entre las que se encuentran Facebook o Google, lanzaron una actualización de seguridad para solucionar este problema.

Conoce Coldroot: Un troyano de Mac que ha permanecido oculto durante años

En el día de hoy os vamos a hablar de Coldroot, un troyano para Mac capaz de controlar remotamente equipos de forma silenciosa, lo que le ha permitido pasar desapercibido durante años. Patrick Wardle, jefe de investigación en Digita Security ha revelado en un artículo detalles acerca de este troyano. Este tipo de malware se instalan y obtienen acceso a niveles muy profundos del sistema operativo con el fin de obtener un completo control remoto del equipo en un momento determinado. Tras una serie de análisis realizados al malware Wardle pudo comprobar que ninguno de los proveedores de antivirus listados en VirusTotal fueron capaces de detectarlo, a pesar de que su código fuese publicado el pasado 2016.

Según Wardle, cuando el malware entra en acción puede grabar y robar contraseñas, listar archivos, renombrarlos, descargarlos y borrarlos además de poder ver el escritorio de manera remota y apagar el equipo. Coldroot se enmascara como un documento, el cual cuando se abre muestra una pantalla solicitando la contraseña del usuario con la esperanza de obtener sus credenciales, tras esto el malware se instalará y contactará con su servidor de control quedándose a la espera de instrucciones de un atacante. Sin embargo, para ganar un acceso total a los niveles más internos de MacOS el malware necesita ganar acceso a las funciones de accesibilidad, algo para lo que necesitaría que la víctima lo añadiese a preferencias del sistema, algo que sin duda nadie haría. “Aunque no se trate de un malware muy sofisticado, es bastante completo” Dijo Wardle.

Figura 1: Coldroot.

Para superar esta barrera Coldroot modifica la base de datos de privacidad permitiendo que el malware interactúe con los componentes del sistema. Una vez hecho esto el troyano se aloja en el terminal y será capaz de permanecer en él y ponerse en funcionamiento cada vez que el sistema se reinicie. Apple ha logrado parchear este malware en MacOS Sierra protegiendo la base de datos con system integrity protection haciendo imposible que el malware gane acceso incluso teniendo la contraseña de la víctima.

Wardle ha dicho que su herramienta gratuita para Mac puede ayudar a protegerse frente a este tipo de ataques y que ya ha notificado a los proveedores de antivirus de este caso para que tomen medidas al respecto.

Ahora puedes usar Virus Total para analizar OS X malware

En Abril de 2015, durante la conferencia RSA, Google comentó algo extraño para muchos. Denominó PHA, aplicaciones potencialmente dañinas, a aquellas aplicaciones que pueden ejercer alguna acción dañina en el dispositivo. Google comentó que no valía la pena preocuparse porque menos de 1% de los dispositivos Android tienen un PHA instalado. Si analizamos los datos, un 1% significa más de 10 millones de dispositivos Android, ya que se supone que hay más de mil millones de dispositivos.

En definitiva, VirusTotal es utilizado para analizar binarios de Windows y Android, pero hoy en día también es utilizado para analizar aplicaciones de OS X en una sandbox. ¿Qué se puede subir? Se pueden subir imágenes de disco DMG o un archivo Mach-O, que es el equivalente a un archivo PE en Windows. En la imagen se puede ver como subimos un fichero en formato DMG a VirusTotal, y éste lo analizará. Hoy día es interesante tener disponible esta funcionalidad y poder aprovechar del potencial de VirusTotal.

Figura 1: Subida de fichero DMG y análisis

Podemos ver los resultados de más de 53 motores de Antivirus y se obtiene un reporte con toda la información sobre los resultados. Además, tenemos la posibilidad a través de VirusTotal de que el fichero pueda ser ejecutado en una sandbox, lo cual puede ayudar a detectar un comportamiento anómalo, el cual por firma no detectaremos.

Figura 2: Fichero analizado

Es cierto que el riesgo de infección en un sistema OS X es inferior al de un sistema Windows, pero también hay que recordar que el aumento de la cuota de mercado en estos sistemas hace pensar que el porcentaje va aumentando.