Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
27/07/2012
Descubierto nuevo malware para Mac OS X
Este nuevo malware, conocido como OSX/Crisis o OSX/Morcut, espia la navegación con Safari y Firefox, y también espía y graba todas las conversaciones de los clientes de mensajería más comunes, como Adium o Skype, entre otros.
La compañía Inte?go ha reportado el descubrimiento de un nuevo malware para Mac OS X 10.6 Snow Leopard y Mac OS X 10.7 Lion, localizado en el repositorio de Virus Total. La pieza de malware está formada por un dropper y un backdoor, descargado por este primero, a los que han bautizado como OSX/Crisis y Backdoor:OSX/Crisis.
Como no ha sido descubierta activamente, no se conoce el modo de distribución que se está utilizando, y puede ser realizado mediante un binding con otros programas de instalación o usando exploits con kit de explotación habituales.
El dropper, una vez instalado, crea una serie de carpetas, dependiendo de si se ejecuta con permisos de administrador o no en el sistema, de las que algunas son con nombres aleatorios, y otras con nombres fijos.
El malware, según parece, utiliza sistemas de ofuscación para dificultar las tareas de ingeniería inversa por parte de los analistas, y se conecta a una dirección IP fija cada 5 minutos, 176.58.100.37, lo que hace suponer que se ha estado probando allí o controlando desde esta dirección.
La vía de infección
Inicialmente el malware fue descubierto a través de Virus Total por Intego, pero la firma Sop?hos también ha publicado información sobre el mismo, al que ha denominado como OSX/Morcut. Tras unos primeros análisis de Int?ego, parece que el malware utiliza un Applet Java que simula ser un plugin de Adobe Flash. Los nombres concretos de los ficheros descubiertos hasta ahora son Adobe.jar y AdobeFlashPlayer.jar.
Una vez se arranca, utiliza técnicas de ingeniería social para conseguir que el usuario acepte la ejecución del mismo, donde se lanza un programa llamado WebEnhacer que genera una alerta de seguridad por no venir firmado por una fuente de confianza. Algo que el usuario debería tener en cuenta.
Una vez ejecutado, el malware comprueba si está sobre un sistema Mac OS X o Windows, para lanzar la descarga de un backdoor u otro e infectar convenientemente cada sistema. Además, para hacer más complicada su detección, modifica el Monitor de Actividad del Sistema.
El ataque dirigido
En las últimas horas se ha sabido que el troyano fue subido a Virus Total por la empresa DefensiveLabs, en nombre de un periodista marroquí, que parece que fue víctima de un ataque dirigido contra periodistas críticos con el gobierno que tuvieron su importancia durante la pasada "Primavera Árabe". Esa es la razón por la que apareció en Virus Total el malware original. El ataque no se hizo por medio de un Applet Java, sino por medio de un documento en formato Word, titulado scandal.doc.
Las acciones en el sistema
Este malware viene con un backdoor y un módulo de kernel que le ayuda a esconderse dentro del sistema. Una vez allí, el programa infecta aplicaciones como Adium, Skype, Microsoft Messenger y Firefox, entre otras, para monitorizar todo tipo de acciones.
- Espía conversaciones de Skype y graba todas las llamadas.
- Espía Firefox y Safari, donde hace screenshots y graba todas las URLs.
- Graba conversaciones de MS Messenger y Adium.
- Envía ficheros con toda la información al servidor.
Además de todas esas acciones, es capaz de activar la webcam y grabar a las personas, ejecutar programas en el sistema, grabar las pulsaciones del teclado, etcétera, lo que lo convierten en una solución muy profesional.
Quién está detrás
Según parece, este es un kit comercial de malware que se vende a gobiernos y empresas para realizar espionaje de sistemas. El software tiene por nombre Remote Control System DaVinci - dejando una referencia a la película Hackers -, y según Intego se podría comprar por unos 200.000 €, lo que deja fuera de juego a script kiddies.
Todas las compañías antimalware ya están sacando firmas para este nuevo troyano, así que si tienes una solución profesional en tu Mac OS X, solo deberás actualizar la base de datos de firmas.