News

La puerta trasera del servidor IRC Unreal

Los administradores del servidor IRC Unreal descubrieron durante el fin de semana una puerta trasera en el paquete para sus espejos. Se puede encontrar la alerta completa en su sitio web, pero hay una parte del mensaje en particular que llamó mi atención:

“Parece que se reemplazaron algunos de los .tar.gz en noviembre de 2009 (por lo menos en algunos espejos). Nadie lo había notado hasta ahora”.

Esto prácticamente significa que el programa troyano estuvo disponible para descargarse por alrededor de 8 meses antes de que se lo descubriera.

A pesar de que se limpiaron las fuentes oficiales, realicé una búsqueda rápida y pude encontrar la versión infectada en sólo minutos.

Es relativamente fácil detectar la versión maliciosa porque tiene el siguiente MD5:

752e46f2d873c1679fa99de3f52a274d Unreal3.2.8.1.tar.gz

¿Cómo funciona esta puerta trasera? Este es un pedazo del código malicioso:

Código del servidor IRC infectado Unreal

Como pueden ver, sólo se necesitaron dos líneas de código, y otras dos para definir las condiciones en las que se inserta el código, si se define DEBUGMODE3.

Lo que sucede aquí es que en el módulo “s_bsd.c” hay una función llamada “read_packet” que maneja cada paquete de datos que se envían al servidor. Si se detecta el comando “AB” (que en este caso se define por DEBUGMODE3_INFO), el resto de los datos en el buffer se envían directo al sistema operativo para ejecutarlos via “system ()”. Bastante simple y directo.

¿Cuál es la moraleja de esta historia? En primer lugar, es fácil ignorar algo tan pequeño como una o dos líneas de código malicioso en las aplicaciones de hoy en día, que cuentan con cientos de miles de líneas. Esta no es la primera vez que ha sucedido y estoy seguro de que no es la única aplicación con fuente abierta infectada.

Lo peor es que se tardó 8 meses en descubrirlo. ¿Cuánto se tardará en encontrar el próximo?

La puerta trasera del servidor IRC Unreal

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada