Mac Os X Vuelve a Ser Objetivo del Malware

Durante los últimos meses asistimos a una campaña cada vez más agresiva de ataques contra la minoría uigur situada junto a China. Estos ataques son canalizados contra dispositivos Mac OS X y probablemente estén orquestados por un gobierno, aunque no ha sido demostrado.

Sergio Méndez Galindo
19 de February · 690 palabras.

🕘 Resumen

Un nuevo grupo de objetivos se ha vuelto vulnerable a los ataques de malware: los simpatizantes de los uigures. Los ataques comenzaron en junio de 2012, pero se intensificaron en los primeros meses de 2013. Los hackers se valen de la ingeniería social y explotan el CVE-2009-0563 para descargar un backdoor en la máquina objetivo. Este backdoor tiene funcionalidad limitada relacionada con el robo de información de contacto personal. El autor ha compilado el backdoor utilizando una variante de "Tiny Shell", una puerta trasera diseñada en 2003 sobre código UNIX. Una vez en la máquina de la víctima, se ejecuta como servicio "systm". El backdoor también incluye funcionalidad para descargar un ejecutable desde los C2. Los creadores han elegido la clave "12345678" para su código secreto cifrado con AES. Está claro que los hackers están utilizando diferentes objetivos para sus ataques de malware, y los usuarios deben tener precaución y estar alerta.

Mucho se ha escrito previamente sobre los ataques de malware recibidos por activistas tibetanos usuarios de Mac Os X. Los primeros ataques de malware contra el nuevo objetivo, los simpatizantes de los uigures, datan de Junio de 2012. Estos ataques se valieron de la ingeniería social para atacar máquinas de usuarios confiados con el exploit “Backdoor.OSX.MaControl.b”. Tanmbién se han registrado casos de ataques contra el WUC o World Uygur Congress recientemente.

Estos ataques dieron comienzo a mediados del pasado años 2012, sin embargo se están intensificando en los primeros meses de 2013.

Todos los ataques se valen de exploits para el fallo de seguridad indicado en el CVE-2009-0563 (corresponden a Microsoft office) Este exploit en concreto es facilmente indentificable porque el autor ha puesto su firma sobre el archivo, se trata del famoso "Captain" (capitán) del que se habló meses atrás por intentar crear una red de bots por medio de una vulnerabilidad encontrada en el nuevo sistema operativo Mac Os X.

MALWARE DESCARGADO

Cuando la ejecución es exitosa, el exploit descarga un backdoor o "puerta trasera" con forma de ejecutable Mach-O el cual tiene un tamaño de 101 a 104 kb. Esta pequeña backdoor parece tener funcionalidad muy limitada relacionada únicamente con su código malicioso. Se pone en marcha y ejecuta un módulo con el objetivo de robar información de contacto personal. El autor ha compilado este backdoor valiendose de una variante de "Tiny Shell", una puerta trasera diseñada en 2003 sobre código UNIX. Se ejecuta entonces como servicio "systm" en el sistema Mac Os X de la víctima.

El código incluye criptografías AES y SHA1 incorporadas junto con ciertas claves secretas y respuestas. Parte del código TSH original es simplemente separado para hacer desaparecer al destinatario (atacante) y, en otra muestra de trabajo simple, los creadores han decidido esocger la clave "12345678" para su código secreto cifrado con AES. El backdoor también incluye funcionalidad para descargar un ejecutable desde los C2.

La información que indica en que plataforma fué compilado el ejecutable se puede ver en el código binario más largo, que apunta a “/Users/cbn/Documents/WorkSpace/design/server/build/server.build/Release/”. La parte "cbn" probablemente es el nombre de usuario de la persona que creo la "puerta trasera"

Además del código "tshd" el atacante ha incluído funcionalidad para interactuar con la lista de contactos de la víctima. Curiosamente, el atacante también decididió dejar una tarjeta de contacto llamada "yo" en sistema vulnerado.

Desde cierto punto de vista esto tiene importancia, ya que si el backdoor es rápidamente descubierto en el ordenador de la víctima, el atacante tiene una lista fiable de contactos para atacar y recuperar el control del sistema de la víctima. Es posible que a su vez el atacante procure encontrar víctimas con mayor valor para él.

Algunos dominios sospechosos de tener alguna relación con esta campaña son los siguientes:

zbing.crabdance.com

www.googmail.org

bella.googmail.org

polat.googmail.org

video.googmail.org

photo.googmail.org

music.googmail.org

news.googmail.org

kisi.ddns.info

mymail.serveuser.com

rambler.serveuser.com

nicmail.dns04.com

webmailactivate.ddns.us

www.update.serveusers.com

RECOMENDACIONES

- Uso de una cuenta @gmail.com: Las cuentas de correo de Google poseen ciertos mecanismos de seguridad contra ataques de seguimiento que otros proveedores no poseen, como la verificación en dos pasos o avisos sobre ataques patrocinados por estados.

- Actualización a la última versión de Microsoft Office: La vulnerabilidad ya fué corregida por Microsoft allá por 2009, por lo que una versión de Office moderna no será vulnerable.

- Instalación de una Suite de Seguridad: Las suite antivirus ofrecen, además de antivirus, protección antimalware, firewall y antispam. Esto hará mucho más costoso que cualquier malware tenga éxito en su objetivo.

- Uso de Google Chrome para navegar: Chrome posee más mecanismos de seguridad contra malware que el resto de navegadores, por ello se recomienda su uso para navegar.

- Ante la duda, mejor preguntar que abrir: Si dudamos de la procedencia de un email es mejor preguntar antes al destinatario que abrir el documento directamente.

Compara antivirus y software para acelerar el pc en nuestra web Mejor Antivirus

Comparte tu conocimiento y tus intereses con el mundo.