Opiniones

Masiva explotación de OS X. ¿Por qué ahora?

¡Por su cuota de mercado! Es una respuesta fácil, pero no es la única.
En 2011, se estimaba que Apple tenía una cuota de más del 5% en el mercado mundial de ordenadores de escritorio y portátiles. Esta era una significativa barrera que había que romper. La cuota de Linux se mantiene en menos del 2%, y la de Google ChromeOS es mucho menor. Este pico alcanzado después de 15 años coincidió con la primera explotación del agresivo mercado de antivirus fraudulentos (FakeAV/Roqueware) que apunta a los ordenadores Apple, que descubrimos y publicamos en abril de 2011: Una rara campaña de publicidad para antivirus fraudulentos y en mayo de ese mismo año: Campaña de malware fraudulento amenaza a los usuarios de Mac, lo que ya no parece ser una mera coincidencia. Asimismo, es posible que esta demora de los programas maliciosos para Apple no tenga nada que ver con que no había exploits para Apple, o con que el sistema Mac OS X está especialmente fortalecido. El “Mes de los virus para Apple” en 2007 demostró que el sistema Mac OS X y el código de soporte están llenos de vulnerabilidades. Safari, QuickTime y otros programas en dispositivos Apple suelen ser vulnerados en los concursos pwnage, pero los ciberdelincuentes no le dieron importancia sino hasta el año pasado.

Hasta ahora, todavía no sabemos quién es responsable del fraudulento programa Flash (Flashfake), así que no tenemos certeza si son los mismos que de los programas antivirus fraudulentos para Mac OS X. La suposición de que se trata de ciberdelincuentes de Europa oriental es, por el momento, una alternativa bastante posible. Existen en esta región grupos conocidos por lucrar con avisos colocados en el tráfico secuestrado desde los motores de búsqueda. Sin embargo, no creemos que ninguna información confidencial esté en riesgo. Las URLs de propagación del exploit que conocemos sólo apuntan a los usuarios de Mac. Estos factores limitan las necesidades técnicas y operativas de una pandilla de ciberdelincuentes con fines de lucro.

De cierta forma, su actividad se parecía a la de los grupos Koobface o Tdss. No han cometido delitos financieros relevantes como para atraer la atención de las autoridades, y sus programas maliciosos contienen hooks y otros códigos para cometer sofisticados delitos bancarios en vez de secuestrar el tráfico desde los motores de búsqueda, pero es muy posible que intentaran obtener una multitud de pequeñas ganancias monetarias. Por otra parte, por suerte, Apple no les ha dado suficiente tiempo a estos rufianes para prepararse. Esta puede ser una actividad muy lucrativa, pues se estima que los dueños de Koobface se esfumaron con millones en los bolsillos después de que Facebook neutralizara sus operaciones como resultado de una investigación. Pero según los registros de los dominios que hemos analizado, estos individuos no son muy públicos y ocultan su identidad mientras secuestran el tráfico desde los motores de búsqueda. Estos programas maliciosos inyectan varios hooks en las aplicaciones en ejecución, muy similar a lo que hacen ZeuS, SpyEye y otros programas espía. Si se los usara para cometer delitos bancarios, los dueños de esta red zombi tendrían que recurrir a mulas de dinero y otros cómplices para lavar el dinero que roban, lo que haría que el grupo creciera, atrayendo así la atención de las autoridades.

En la parte tecnológica, Java es una pieza importante del rompecabezas. Aunque el troyano se llama Flashfake, porque a los usuarios se les convencía para que instalaran un programa malicioso que aparecía como una actualización de Adobe Flash, sus últimas versiones se instalaban a través de lado del cliente Java.

Se apuntó a tres vulnerabilidades con exploits dirigidas a lado del cliente, ninguna de las cuales era Día-Cero, lo que parece haber dificultado su adquisición. Además, esta combinación fue muy conveniente para sus operadores. Resulta interesante notar el tiempo transcurrido desde la actualización original de seguridad de Oracle Java hasta la actualización de seguridad de Appla Java, y en qué momento aparece la publicación de la investigación de vulneración de la seguridad. Y, ¿cuándo se publicaron los módulos del exploit de código abierto Metasploit que amenazaban a las correspondientes vulnerabilidades en Java? Los periodos de tiempo pueden parecer alarmantes. No se trata de exploits Día-Cero, pero Apple simplemente no ha publicado los respectivos parches, dejando a sus clientes expuestos al equivalente de los exploits conocidos Día-Cero.

CVE-2012-0507

2012-02-15 Oracle
publica los parches para la vulnerabilidad Atomic Reference Array

2012-03-10 Primer Itw exploit dirigido a la vulnerabilidad.

2012-03-30 Los desarrolladores de Metasploit
añaden el módulo del exploit Java atomic reference array

2012-04-03 Apple parcha su código

CVE-2011-3544

2011-05-12 Se le informa al fabricante

2011-11-18 Oracle parcha su Java SE

2011-11-30 Los desarrolladores de Metasploit añaden el módulo “Rhino exploit”

Krebs informa sobre un sitio operativo BlackHole con el
nuevo exploit Java

2012-3-29 Parche de Apple.

CVE-2008-5353

“Deserialización de objetos del calendario”

2008-08-01 Se informa a Sun sobre la primera instancia de la vulnerabilidad

2008-12-03 Sun parcha su código
(se quita enlace de Sun)

2009-05-15 Apple parcha el código de MacOSX

2009-06-16 Los desarrolladores de Metasploit añaden el exploit Java deserialization

También aparece en esta lista un débil exploit descrito como un applet firmado usado como truco de ingeniería social.

Prefiero llamarlo la apuesta del “usuario terriblemente confundido al que se le presenta el diálogo ‘¿Quieres confiar en este applet?’ y ejecutará cualquier cosa que le presentes”. Comenzó como parte del módulo del exploit Metasploit el 27-01-2012. Básicamente, le presentan al usuario un archivo que él cree es una actualización de Java proveniente de la misma Apple Inc, en la que confía para ejecutar cualquier acción en su equipo. Después, el descargador se comunica con un par de sitios para registrar y descargar nuevos componentes de Flasfake. A su vez, estos componentes capturan el UUID del sistema y el timestamp, para después autogenerar mediante un algoritmo codificado una serie de dominios C2, a la vez que mantiene una lista de dominios con hard-code. Un par de los más recientes componentes se inyecta en los procesos en ejecución en el sistema, bloqueando la funcionalidad de los programas y secuestrando el tráfico, de forma muy similar a los anteriores programas maliciosos TDS.

Masiva explotación de OS X. ¿Por qué ahora?

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada