Nueva versión del troyano OceanLotus para macOS hace saltar las alertas

El grupo vietnamita OceanLotus ha evolucionado su troyano para Mac creando lo que los investigadores de Palo Alto Networks llaman “uno de los backdoors más avanzados que hemos visto en macOS hasta la fecha”. Esta nueva redención del malware ha añadido documentos señuelo, codificación de cadenas, modularidad, y un personalizado protocolo de tráfico con cifrado. Como en anteriores versiones, el malware está siendo usado principalmente en el propio Vietnam.

En un post publicado el jueves en el blog de la unidad 42 del equipo de inteligencia de Palo Alto se reportó que esta versión ha estado activa durante más de una año, pero fue liberada a partir del pasado mes de julio. Aprovechando los bajos niveles de detección de algunos antivirus, el backdoor se distribuye a través de documentos en formato Zip (normalmente a través de un email). Este archivo contiene un directorio con lo que aparenta ser un documento de Microsoft Word, pero en realidad es un bulto de aplicación que oculta al troyano. Esta es una notable diferencia respecto a otros malwares de MacOS, incluyendo a las anteriores versiones de OceanLotus backdoor, ya que la practica más común es suplantar un instalador de aplicaciones para programas como Adobe Flash.

Figura 1: Esquema de funcionamiento de OceanLotus Malware.

Para disipar sospechas, esta nueva variante abre un documento señuelo, un truco que es mucho más común ver en los malware de Windows. Además la falta de líneas de comando y cadenas sospechosas ayudan a ocultar su malicioso propósito. Otra de las novedades de este malware es su protocolo binario personalizado para comunicarse con el servidor, estas comunicaciones se hacen a través de del puerto 443 vía TCP, un puerto que es normal que no sea bloqueado por los cortafuegos tradicionales debido a su uso en conexiones HTTP. En este mismo año los investigadores de FireEye/Mandiant han identificado como los promotores de diferentes campañas maliciosas al grupo OceanLotus, de hecho se puede afirmar con casi total seguridad que este grupo también ha estado detrás de la Operación Colbat Kitty, un sofisticado ataque de Spear Phishing cuyo objetivo era una compañía asiática.

Nuevo malware a través de Microsoft Word para Mac

Un nuevo malware se ha descubierto para los equipos Mac. En menos de una semana, se descubre un segundo ejemplo de malware dirigido, ya que la semana pasada hablamos del malware MacDownloader dirigido a activistas iraníes. Este segundo malware está orientado a la utilización de Microsoft Word y permite al atacante apoderarse del control de la máquina, cuando el usuario ejecuta una macro, la cual descarga un payload que permite infectar el Mac objetivo. El archivo de Word se denominada "Aliados de los EE.UU y rivales de Trump", según ha indicado el equipo de Objective-See.

Cuando se abre el archivo, las potenciales víctimas reciben el típico aviso de que la ejecución de macros podrían hacer que el equipo se dañara o infectara. Si el usuario acepta la ejecución de las macros, tendría el control de la máquina, ya que en ese momento se ejecutaría la macro y ésta descargaría el payload con el objetivo de infectar el equipo. Una de las cosas que la macro comprueba es si Little Snitch se está ejecutando en la máquina, ya que habría que evitarla. El código de la macro se puede encontrar en el proyecto EmPyre, un derivado del famoso Powershell Empire.

Figura 1: Mensaje de advertencia sobre ejecución de macros

Los investigadores creen que el payload podría persistir en el Mac ejecutándose automáticamente después de un reinicio de la máquina. Además, se cree que podría realizar funciones basadas en uno de los muchos módulos de EmPyre. Estos módulos ofrecen una multitud de opciones para que los atacantes puedan adquirir y recopilar informacion, incluyendo keyloggers, volcado de llaveros, monitorización del portapapeles, capturas de pantalla, acceso a iMessage o, incluso, a la webcam. El malware, como ha indicado Patrick Wardle, no es particularmente avanzado debido a que los usuarios deben interactuar con el mensaje de las macros, pero una vez habilitado el malware es eficaz  y funciona bien.

Actualización de Office for Mac que arregla 3 bugs críticos

Microsoft ha liberado una nueva versión de Office 2016 for Mac en su versión 15.17.0. Con esta actualización de seguridad se parchean un par de vulnerabilidades que eran críticas, ya que dichos bugs permitían la ejecución remota de código arbitrario. Todas las versiones de la suite de Office for Mac contaban con estas vulnerabilidades críticas, por lo que todas deben ser actualizadas.

La vulnerabilidad más crítica fue identificada como CVE-2016-001, y está presente en todas las versiones de Office, desde el 2007 al 2016, tanto para Mac como para Windows. De acuerdo con el boletín de seguridad MS16-004, que el propio Microsoft publica, Office for Mac fue afectado en sus versiones Excel, PowerPoint y Word de Office 2011 y Excel, PowerPoint y Word de Office 2016. Además, existen otro par de vulnerabilidades críticas que analizamos a continuación:

• CVE-2016-0010. Esta vulnerabilidad permite la ejecución de código remoto a través de un documento a través de un fichero preparado para ello, lo que se suele denominar un fileformat. Afecta a todas las versiones desde 2007 a 2016, incluyendo Office 2011 for Mac y Office 2016 for Mac.
• CVE-2016-0035. Esta vulnerabilidad permite ejecutar código remoto también, y afecta a todas las versiones de Excel desde la versión de 2007, pasando por Office 2011 for Mac y Office 2016 for Mac. 

Figura 1: Actualización de Office for Mac

El equipo de Microsoft ha detallado aún más los escenarios de un posible ataque que se aproveche de dichas vulnerabilidades. Se indica que un atacante puede aprovechar esto para ejecutar código arbitrario en el contexto de un usuario actual. Si el usuario actual inicia sesión con derechos de usuario root o administrativos, un atacante podría tomar el control del sistema afectado con los máximos privilegios. Es decir, podría ejecutar cualquier acción con el máximo privilegio, por lo que se podría instalar aplicaciones, ver o eliminar datos sensibles, crear nuevas cuentas en el propio sistema con los mismos derechos que el usuario en ejecución, etcétera.

Para explotar la vulnerabilidad, un usuario debe abrir un archivo especialmente diseñado con una versión afectada de Microsoft Office for Mac. Por ejemplo, en un supuesto ataque de correo electrónico un atacante podría aprovechar la vulnerabilidad mediante el envío del archivo y convencer al usuario para que lo abra. En caso de un ataque basado en web, el intruso podría alojar un sitio web que contiene este archivo malicioso y esperar que los visitantes tengan una versión de Office vulnerable.