Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
27/07/2012
Descobert nou malware per a Mac OS X
Este nou malware, conegut com OSX/Crisis o OSX/Morcut, espia la navegació amb Safari i Firefox, i també espia i grava tota les conversacions dels clients de missatgeria més comuna, com Adium o Skype, entre altres.
La companyia Intego ha reportat el descobriment d’un nou programari maliciós per a Mac OS X 10.6 Snow Leopard i Mac OS X 10.7 Lion, localitzat en el repositori de Virus Total. La peça de malware està formada per un dropper i un backdoor, descarregat per este primer, als quals han batejat com OSX/Crisis i Backdoor:OSX/Crisis.
Com no ha sigut descoberta activament, no es coneix el mode de distribució que s’està utilitzant, i pot ser realitzat per mitjà d’un binding amb altres programes d’instal·lació o usant exploits amb kit d’explotació habituals.
El dropper, una vegada instal·lat, crea una sèrie de carpetes, depenent de si s’executa amb permisos d’administrador o no en el sistema, de les quals algunes són amb noms aleatoris, i altres amb noms fixos.
El malware, segons pareix, utilitza sistemes d’ofuscació per a dificultar les tasques d’enginyeria inversa per part dels analistes, i es connecta a una direcció IP fixa cada 5 minuts, 176.58.100.37, la qual cosa fa suposar que s’ha estat provant allí o controlant des d’esta direcció.
La via d’infecció
Inicialment el programari maliciós va ser descobert a través de Virus Total per Intego, però la firma Sophos també ha publicat informació sobre el mateix, que ha denominat com OSX/Morcut. Després d’unes primeres anàlisis d'Intego, pareix que el programari maliciós utilitza un Applet Java que simula ser un plugin d’Adobe Flash. Els noms concrets dels fitxers descoberts fins ara són Adobe.jar i Adobeflashplayer.jar.
Una vegada s’arranca, utilitza tècniques d’enginyeria social per a aconseguir que l’usuari accepte la seua execució, on es llança un programa anomenat WebEnhacer que genera una alerta de seguretat per no vindre firmat per una font de confiança. Una cosa que l’usuari hauria de tindre en compte.
Una vegada executat, el malware comprova si està sobre un sistema Mac OS X o Windows, per a llançar la descàrrega d’un backdoor o un altre i infectar convenientment cada sistema. A més, per a fer més complicada la seua detecció, modifica el Monitor d’Activitat del Sistema.
L’atac dirigit
En les últimes hores s’ha sabut que el troià va ser pujat a Virus Total per l’empresa DefensiveLabs, en nom d’un periodista marroquí, que pareix que va ser? ví?ctima? ??d’?un??? ?ata?c? ?dirig?it? ?con?tra? ?peri?odistes? ?críti?cs? ?am?b? ?e?l? ?gov?ern? que van tindre la seua importància durant la passada Primavera Àrab. Eixa és la raó per la qual va aparéixer en Virus Total el malware original. L’atac no es va fer per mitjà d’un Applet Java, sinó per mitjà d’un document en format Word, titulat scandal.doc.
Les accions en el sistema
Este programari maliciós ve amb un backdoor i un mòdul de nucli que li ajuda a amagar-se dins del sistema. Una vegada allí, el programa infecta aplicacions com Adium, Skype, Microsoft Messenger i Firefox, entre altres, per a monitoritzar tot tipus d’accions.
- Espia conversacions de Skype i grava totes les telefonades.
- Espia Firefox i Safari, on fa screenshots i grava totes les URL.
- Grava conversacions de MS Messenger i Adium.
- Envia fitxers amb tota la informació al servidor.
A més de totes eixes accions, és capaç d’activar la webcam i gravar les persones, executar programes en el sistema, gravar les pulsacions del teclat, etcètera, la qual cosa el convertix en una solució molt professional.
Qui està darrere
Segons pareix, este és un kit comercial de programari maliciós que es ven a governs i empreses per a realitzar espionatge de sistemes. El programari té per nom Remote Control System DaVinci – fent una referència a la pel·lícula Hackers, i segons Intego es podria comprar per uns 200.000 €, cosa que deixa fora de joc script kiddies.
Totes les companyies antimalware han tret firmes per a este nou troià, així que si tens una solució professional en el teu Mac OS X, només hauràs d’actualitzar la base de dades de firmes.