Mac OS X vuelve a ser objetivo del malware

Durante los últimos meses asistimos a una campaña cada vez más agresiva de ataques contra la minoría uigur situada junto a China. Estos ataques se canalizan contra dispositivos Mac OS X y probablemente estén orquestados por un gobierno, aunque no ha sido demostrado.

Sergio Méndez Galindo

19 de febrero · 648 palabras

Compartir: 𝕏 Twitter 📱 WhatsApp

Mac OS X vuelve a ser objetivo del malware - Seguridad Informática

Un nuevo grupo de objetivos se ha vuelto vulnerable a los ataques de malware: los simpatizantes de los uigures. Los ataques comenzaron en junio de 2012, pero se intensificaron en los primeros meses de 2013.

Los hackers se valen de la ingeniería social y explotan el CVE-2009-0563 para descargar un backdoor en la máquina objetivo. Este backdoor tiene funcionalidad limitada relacionada con el robo de información de contacto personal.

El autor ha compilado el backdoor utilizando una variante de "Tiny Shell", una puerta trasera diseñada en 2003 sobre código UNIX. Una vez en la máquina de la víctima, se ejecuta como servicio "systm". El backdoor también incluye funcionalidad para descargar un ejecutable desde los C2.

Los creadores han elegido la clave "12345678" para su código secreto cifrado con AES. Está claro que los hackers están utilizando diferentes objetivos para sus ataques de malware, y los usuarios deben tener precaución y estar alerta.

Mucho se ha escrito previamente sobre los ataques de malware recibidos por activistas tibetanos usuarios de Mac OS X. Los primeros ataques de malware contra el nuevo objetivo, los simpatizantes de los uigures, datan de junio de 2012. Estos ataques se valieron de la ingeniería social para atacar máquinas de usuarios confiados con el exploit “Backdoor.OSX.MaControl.b”. También se han registrado casos de ataques contra el WUC o World Uygur Congress recientemente.

Estos ataques dieron comienzo a mediados del pasado año 2012; sin embargo, se están intensificando en los primeros meses de 2013.

Todos los ataques se valen de exploits para el fallo de seguridad indicado en el CVE-2009-0563 (corresponden a Microsoft Office). Este exploit en concreto es fácilmente identificable porque el autor ha puesto su firma sobre el archivo, se trata del famoso "Captain" del que se habló meses atrás por intentar crear una red de bots por medio de una vulnerabilidad encontrada en el nuevo sistema operativo Mac OS X.

Malware descargado

Cuando la ejecución es exitosa, el exploit descarga un backdoor o "puerta trasera" con forma de ejecutable Mach-O el cual tiene un tamaño de 101 a 104 KB. Esta pequeña backdoor parece tener funcionalidad muy limitada relacionada únicamente con su código malicioso. Se pone en marcha y ejecuta un módulo con el objetivo de robar información de contacto personal. El autor ha compilado este backdoor valiéndose de una variante de "Tiny Shell", una puerta trasera diseñada en 2003 sobre código UNIX. Se ejecuta entonces como servicio "systm" en el sistema Mac OS X de la víctima.

El código incluye criptografía AES y SHA-1 incorporadas junto con ciertas claves secretas y respuestas. Parte del código TSH original es simplemente separado para hacer desaparecer al destinatario (atacante) y, en otra muestra de trabajo simple, los creadores han decidido escoger la clave "12345678" para su código secreto cifrado con AES. El backdoor también incluye funcionalidad para descargar un ejecutable desde los C2.

La información que indica en qué plataforma fue compilado el ejecutable se puede ver en el código binario más largo, que apunta a "/Users/cbn/Documents/WorkSpace/design/server/build/server.build/Release/". La parte "cbn" probablemente es el nombre de usuario de la persona que creó la "puerta trasera".

Además del código "tshd" el atacante ha incluido funcionalidad para interactuar con la lista de contactos de la víctima. Curiosamente, el atacante también decidió dejar una tarjeta de contacto llamada "yo" en el sistema vulnerado.

Desde cierto punto de vista esto tiene importancia, ya que si el backdoor es rápidamente descubierto en el ordenador de la víctima, el atacante tiene una lista fiable de contactos para atacar y recuperar el control del sistema de la víctima. Es posible que a su vez el atacante procure encontrar víctimas con mayor valor para él.

Dominios sospechosos

zbing.crabdance.com
www.googmail.org
bella.googmail.org
polat.googmail.org
video.googmail.org
photo.googmail.org
music.googmail.org
news.googmail.org
kisi.ddns.info
mymail.serveuser.com
rambler.serveuser.com
nicmail.dns04.com
webmailactivate.ddns.us
www.update.serveusers.com

Recomendaciones

Uso de una cuenta @gmail.com: las cuentas de correo de Google poseen ciertos mecanismos de seguridad contra ataques de seguimiento que otros proveedores no poseen, como la verificación en dos pasos o avisos sobre ataques patrocinados por estados.
Actualización a la última versión de Microsoft Office: la vulnerabilidad ya fue corregida por Microsoft en 2009, por lo que una versión de Office moderna no será vulnerable.
Instalación de una suite de seguridad: las suites antivirus ofrecen, además de antivirus, protección antimalware, firewall y antispam. Esto hará mucho más costoso que cualquier malware tenga éxito en su objetivo.
Uso de Google Chrome para navegar: Chrome posee más mecanismos de seguridad contra malware que el resto de navegadores, por ello se recomienda su uso para navegar.
Ante la duda, mejor preguntar que abrir: si dudamos de la procedencia de un email es mejor preguntar antes al remitente que abrir el documento directamente.

Compara antivirus y software para acelerar el PC en nuestra web Mejor Antivirus

Sobre el autor

Sergio Méndez Galindo

Fundador de mejor-antivirus.es

79 artículos · 60.560 lecturas

Ver más artículos →