News

Confirmada la existencia de la red zombi Flashfake para Mac OS X

Esta semana, Dr.Web anunció que había descubierto una red zombi para Mac OS X llamada Flashback (o Flashfake). Según sus datos, esta red zombi está compuesta por más de 500.000 ordenadores Mac infectados.

Hicimos un seguimiento del caso con un análisis de la última variante de este bot, Trojan-Downloader.OSX.Flashfake.ab.

Se está distribuyendo en sitios web infectados como un applet de Java que se hace pasar por una actualización para Adobe Flash Player. El applet de Java ejecuta un downloader que después descarga e instala el componente principal del troyano. El componente principal es un troyano descargador (Trojan-Downloader) que se conecta con frecuencia a uno de sus servidores de comando y control y espera a que aparezcan nuevos componentes para descargarlos y ejecutarlos.

El bot ubica sus servidores C&C de acuerdo a sus nombres de dominio, y esos nombres se generan utilizando dos algoritmos. El primero depende de la fecha actual, el segundo utiliza varias variables que se guardan en el cuerpo del troyano y se codifican con el hardware UUID del ordenador utilizando el cifrado RC4.

Utilizamos ingeniería inversa en el algoritmo de generación del primer dominio y pusimos la fecha actual, 04/06/2012, para generar y registrar un nombre de dominio, “krymbrjasnof.com”. Después de registrarlo, comenzamos a recibir las solicitudes de los bots. Como cada solicitud contiene un UUID único del hardware, pudimos calcular la cantidad de bots activos. Nuestros registros indican que se conectaron a nuestro servidor más de 600.000 bots únicos en menos de 24 horas. En total, utilizaron más de 620.000 direcciones IP externas. Más del 50% de los bots se conectó desde los Estados Unidos.

Distribución geográfica de los bots Flashfake activos

No sabemos con certeza si todos los bots que se conectaron a nuestro servidor utilizaban Mac OS X. Los bots sólo se pueden identificar por una variable única en su encabezado HTTP de User-Agent llamado “id”, el troyano controla el resto del User-Agent de forma estática. Mira el ejemplo de abajo:

“Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1; sv:2; id:9D66B9CD-0000-5BCF-0000-000004BD266A) Gecko/20100101 Firefox/9.0.1”

Utilizamos técnicas pasivas de OS fingerprinting para hacer un cálculo aproximado. Es probable que ordenadores con Mac OS X hayan enviado más del 98% de los paquetes entrantes de redes. Aunque esta técnica se basa en heurística y no es fiable por completo, sirve para calcular la magnitud en general. Por lo tanto, es muy probable que la mayoría de los ordenadores que ejecutan el Flashfake bot sean Macs.

Distribución aproximada de los sistemas operativos que se utilizan para conectarse a nuestro servidor

Confirmada la existencia de la red zombi Flashfake para Mac OS X

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada