Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
06/08/2012
La immensa desinformació sobre el malware 'OSX/Crisis
Torna a ocórrer. La combinació dels mitjans generalistes (que no volen que la realitat arruïne una bona història) i les cases d'antivirus (que veuen en Mac una nova veta de mercat) convertixen qualsevol dada sobre programari maliciós per a Mac en un desori de confusió i desinformació. Què passa en realitat amb el programari maliciós OSX/Crisi? Intentarem aclarir alguna cosa.
...
Les cases antivirus l’anomenen Crisi o Morcut indistintament. L’èxit d’un programari maliciós està sobretot en el seu mètode de difusió: quan més automatitzat millor. Un programari maliciós que es distribuïsca a través d’una execució transparent en el sistema (sense intervenció de l’usuari) gràcies a una vulnerabilitat, serà molt difós. Com menys coneguda la vulnerabilitat, més èxit per al programari maliciós. Al contrari, si el programari maliciós requerix que l’usuari l'execute "amb el seu ratolí", dependrà per complet de l’enginyeria social empleada. Com més aguda o atractiva, més usuaris picaran. En el cas de Crisi, pareix que no aprofita cap vulnerabilitat. Al tractar-se d’un .jar firmat, Java llançarà una alerta quan s’executa, cosa que dificultarà encara més que els usuaris el llancen.
El programari maliciós: què fa?
· La tercera qüestió que cal plantejar-se és què fa este troià. Com hem comentat, després d’una distribució "original", s’executarà en el sistema o el binari per a Windows o el de Mac, amb la qual cosa en realitat tenim dos. L’executable per a Mac és un espia capaç de registrar les tecles del Mac, activar el micròfon, la cambra, robar el portapapers, etc. Un spyware "tradicional" que permet a un tercer controlar el sistema i robar informació. Segons pareix pot estar basat en una ferramenta comercial. Ni tan sols intenta elevar privilegis: si l’usuari ho executa amb privilegis, podrà amagar-se millor i controlar més, i si no, es conformarà amb el que puga. Una dada important és que este programari maliciós es va donar oportunament a conéixer quan va aparéixer la nova versió Mountain Lion de Mac. Este fet és totalment irrellevant, però pareix que molts titulars parlen de que es tracta d’un programari maliciós per a eixa versió quan no és cert. Funcionarà en qualsevol Mac.
· No hem analitzat l’executable per a Windows en profunditat, però pareix una porta posterior igualment (que curiosament fa ús de PuTTy). Té funcionalitat de rootkit i roba informació del sistema.
...
Llegiu notícia completa de La Flecha.