Mac Os X Vuelve a Ser Objetivo del Malware

Durante los últimos meses asistimos a una campaña cada vez más agresiva de ataques contra la minoría uigur situada junto a China. Estos ataques son canalizados contra dispositivos Mac OS X y probablemente estén orquestados por un gobierno, aunque no ha sido demostrado.

Sergio Méndez Galindo
Sergio Méndez Galindo
19 de February · 690 palabras.
Mucho se ha escrito previamente sobre los ataques de malware recibidos por activistas tibetanos usuarios de Mac Os X. Los primeros ataques de malware contra el nuevo objetivo, los simpatizantes de los uigures, datan de Junio de 2012. Estos ataques se valieron de la ingenier√≠a social para atacar m√°quinas de usuarios confiados con el exploit ‚ÄúBackdoor.OSX.MaControl.b‚ÄĚ. Tanmbi√©n se han registrado casos de ataques contra el WUC o World Uygur Congress recientemente.

Estos ataques dieron comienzo a mediados del pasado a√Īos 2012, sin embargo se est√°n intensificando en los primeros meses de 2013.

Todos los ataques se valen de exploits para el fallo de seguridad indicado en el CVE-2009-0563 (corresponden a Microsoft office) Este exploit en concreto es facilmente indentificable porque el autor ha puesto su firma sobre el archivo, se trata del famoso "Captain" (capitán) del que se habló meses atrás por intentar crear una red de bots por medio de una vulnerabilidad encontrada en el nuevo sistema operativo Mac Os X.

MALWARE DESCARGADO

Cuando la ejecuci√≥n es exitosa, el exploit descarga un backdoor o "puerta trasera" con forma de ejecutable Mach-O el cual tiene un tama√Īo de 101 a 104 kb. Esta peque√Īa backdoor parece tener funcionalidad muy limitada relacionada √ļnicamente con su c√≥digo malicioso. Se pone en marcha y ejecuta un m√≥dulo con el objetivo de robar informaci√≥n de contacto personal. El autor ha compilado este backdoor valiendose de una variante de "Tiny Shell", una puerta trasera dise√Īada en 2003 sobre c√≥digo UNIX. Se ejecuta entonces como servicio "systm" en el sistema Mac Os X de la v√≠ctima.

El código incluye criptografías AES y SHA1 incorporadas junto con ciertas claves secretas y respuestas. Parte del código TSH original es simplemente separado para hacer desaparecer al destinatario (atacante) y, en otra muestra de trabajo simple, los creadores han decidido esocger la clave "12345678" para su código secreto cifrado con AES. El backdoor también incluye funcionalidad para descargar un ejecutable desde los C2.

La informaci√≥n que indica en que plataforma fu√© compilado el ejecutable se puede ver en el c√≥digo binario m√°s largo, que apunta a ‚Äú/Users/cbn/Documents/WorkSpace/design/server/build/server.build/Release/‚ÄĚ. La parte "cbn" probablemente es el nombre de usuario de la persona que creo la "puerta trasera"

Además del código "tshd" el atacante ha incluído funcionalidad para interactuar con la lista de contactos de la víctima. Curiosamente, el atacante también decididió dejar una tarjeta de contacto llamada "yo" en sistema vulnerado.

Desde cierto punto de vista esto tiene importancia, ya que si el backdoor es rápidamente descubierto en el ordenador de la víctima, el atacante tiene una lista fiable de contactos para atacar y recuperar el control del sistema de la víctima. Es posible que a su vez el atacante procure encontrar víctimas con mayor valor para él.

Algunos dominios sospechosos de tener alguna relaci√≥n con esta campa√Īa son los siguientes:

zbing.crabdance.com

www.googmail.org

bella.googmail.org

polat.googmail.org

video.googmail.org

photo.googmail.org

music.googmail.org

news.googmail.org

kisi.ddns.info

mymail.serveuser.com

rambler.serveuser.com

nicmail.dns04.com

webmailactivate.ddns.us

www.update.serveusers.com

RECOMENDACIONES

- Uso de una cuenta @gmail.com: Las cuentas de correo de Google poseen ciertos mecanismos de seguridad contra ataques de seguimiento que otros proveedores no poseen, como la verificación en dos pasos o avisos sobre ataques patrocinados por estados.

- Actualizaci√≥n a la √ļltima versi√≥n de Microsoft Office: La vulnerabilidad ya fu√© corregida por Microsoft all√° por 2009, por lo que una versi√≥n de Office moderna no ser√° vulnerable.

- Instalación de una Suite de Seguridad: Las suite antivirus ofrecen, además de antivirus, protección antimalware, firewall y antispam. Esto hará mucho más costoso que cualquier malware tenga éxito en su objetivo.

- Uso de Google Chrome para navegar: Chrome posee m√°s mecanismos de seguridad contra malware que el resto de navegadores, por ello se recomienda su uso para navegar.

- Ante la duda, mejor preguntar que abrir: Si dudamos de la procedencia de un email es mejor preguntar antes al destinatario que abrir el documento directamente.

Compara antivirus y software para acelerar el pc en nuestra web Mejor Antivirus

Comparte tu conocimiento y tus intereses con el mundo.

Publica un artículo →