News

Nueva variante de puerta trasera MacOS X en ataques APT

Hace dos días interceptamos una nueva campaña APT con una nueva variante de puerta trasera MacOS X dirigida contra activistas Uyghur.

Pero antes de entrar en detalles, respondamos a esta pregunta:
– El Dalai Lama entra a una tienda de Apple. ¿Por qué? Una posible respuesta es “¡para comprarse uno de los nuevos MacBook Pro con Retina Display! (a propósito, a mí me encantaría también comprarme uno, pero resulta difícil justificar el golpe al presupuesto familiar). Bromas aparte, en realidad el Dalai Lama es un reconocido usuario de Mac. Esta es una foto suya usando un Mac durante una teleconferencia:

Y otra mejor usando un MacBook Pro de 17”:

Puede no ser una sorpresa que estemos ante un aumento en la cantidad de ataques APT contra usuarios de alto perfil de Mac.

El 27 de junio interceptamos una nueva ola de ataques APT contra algunos usuarios Uyghur de Mac.

Los mensajes de correo contienen un archivo ZIP adjunto. Dentro de este archivo ZIP hay una foto JPG y una aplicación para MacOS X:

En realidad se trata de una nueva aplicación, una versión casi no detectada de puerta trasera MaControl (Binario Universal) que es compatible con los Macs i386 y PowerPC. Lo detectamos como “Backdoor.OSX.MaControl.b”.

MD5 ( “matiriyal.app/Contents/MacOS/iCnat” ): e88027e4bfc69b9d29caef6bae0238e8
Cuando se ejecuta, se autoinstala en el sistema y se conecta con su servidor de Control y Comando para recibir instrucciones. Esta puerta trasera permite que su operador haga un listado de archivos, transfiera archivos, y en general, que ejecute comandos en el equipo infectado.

Como de costumbre, algunos de los comentarios y la información para la depuración están en inglés pero tienen algunos errores comunes:

– “Recieve” en lugar de “Receive”
– “os verison” en lugar de “os version”
– “memery” en lugar de “memory”
– Etc…

Esta puerta trasera es muy flexible; sus servidores de Control y comando se guardan en un bloque de configuración que aparece como apéndice al final del archivo y tiene un tamaño de 0x214 bytes. El bloque de configuración está ofuscado con una sencilla operación “substract 8”.

Una vez descifrado, se puede leer la dirección del servidor de Control y Comando: 61.178.77.*, localizado en China:

Dada la creciente popularidad de los Macs y de su también creciente adopción por parte de usuarios de alto perfil, estimamos un crecimiento proporcional de los ataques MacOS X APT. Previos ataques recurrían a explots de MS Office (Exploit.MSWord.CVE-2009-0563.a.); el que aquí describimos se basa en la ingeniería social para inducir al usuario a ejecutar la puerta trasera. Al igual que con los programas maliciosos para PC, las combinaciones de exploits y técnicas de ingeniería social suelen ser las más efectivas. No sería sorprendente ver pronto un aumento en este tipo de ataques.

Últimas noticias (30 de junio de 2012): AlienVault ha publicado una descripción del backdoor para Windows usadas en este ataque. El análisis se puede leer aquí (en inglés).

Nueva variante de puerta trasera MacOS X en ataques APT

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada