El siguiente post es una traducción (con algunas adaptaciones idiomáticas) del texto realizado por Alexis Dorais-Joncas, publicado en el blog de ESET en inglés donde se realiza un estudio sobre un nuevo payload para sistemas OS X.

Este mes, investigadores de AlienVault e Intego reportaron sobre un nuevo tipo de ataque de malware que tuvo como objetivo al NGO tibetano (organización no gubernamental). El ataque consistía en inducir a la víctima a visitar un sitio web, el cual inyectaba un payload malicioso en su computadora utilizando la vulnerabilidad en Java CVE-2011-3544. El servidor web contenía un archivo JAR (archivo Java) para una plataforma específica el cuál se ejecutaba de acuerdo al UserAgent para infectar a usuarios de sistemas Windows o de sistemas OS X.

Si bien el archivo también se entregaba a clientes de sistemas Linux, al ser un payload específico para OS X, estos primeros no se vieron afectados. El análisis se focalizó en el propio payload y en el protocolo de red que utiliza para comunicarse con el centro de comando y control (C&C).

OS X utiliza archivos de formato Mach-O como ejecutables y en el caso del payload el Mach-O solo fue compilado para 64 bits, lo cual es inusual debido a que la mayoría de este tipo de archivos contienen ambas arquitecturas, des decir, tanto 32 bits como 64 bits.

Comenzando la investigación con la ejecución del payload, la amenaza se autocopia a “/Library/Audio/Plug-Ins/AudioServer” y a continuación se lanza un script nombrado “~/Library/LaunchAgents /com.apple.DockActions.plist” el cual apunta al archivo copiado para asegurar la ejecución cuando el usuario accede a su cuenta.

Cabe destacar que la configuración por defecto en OS X 10.7.3 no brinda a los usuarios regulares (sin permiso de administrador) permisos de ejecución en la ruta “/Library/Audio/Plug-Ins/AudioServer”, por lo que esta amenaza no es de tipo persistente ya que no sobrevivirá a un reinicio del sistema. No estamos del todo seguros si versiones anteriores de OS X tienen diferentes permisos de archivos.

Ver más… »

Categories: Alertas, Malware
1 Comment »

El viernes de la semana pasada estuvimos hablando sobre una muestra de un código malicioso que se hacía pasar por una solución de seguridad gratuita que para cobrarle al usuario por su uso. Analizando el archivo más en detalle se puede observar que el ejecutable se encuentra en un paquete autoextraíble. Al descomprimirlo, curiosamente, el archivo despliega varias escenas de la famosa obra Romeo y Julieta de William Shakespeare:

Con estos comentarios se busca ofuscar algunos parámetros que utiliza el código malicioso para autoejecutarse en la computadora de la víctima. Este autoejecutable, una vez extraído, contiene otro archivo comprimido en su interior. No obstante, el segundo está cifrado con contraseña. Para poder descifrarse en la computadora de la víctima, el archivo necesita que la clave se encuentre embebida en alguna parte. Para eso, el autor de este código malicioso decidió utilizar la obra de Shakespeare para disfrazar su clave de la siguiente forma:

Setup = [ARCHIVO] –e –p [CONTRASEÑA]

Ver más… »

Categories: Análisis de malware
No Comments »