Nueva versión de OSX.SabPub & ataques APT a Mac confirmados

A finales de la semana pasada, descubrimos evidencias de una posible conexión entre un troyano puerta trasera Mac OS X y un ataque APT conocido como Lucky Cat . La dirección IP del C&C al que se conecta este bot (199.192.152.*) también se usó en otros ejemplares de malware para Windows durante 2011, lo que nos hace pensar que estamos buscando a los mismos responsables en ambos ataques.

Durante los últimos dos días hemos estado vigilando un sistema infectado “falso”, que es un procedimiento típico cuando analizamos bots de APT. Hoy nos sorprendimos muchísimo cuando, durante el fin de semana, los controladores del APT tomaron nuestro equipo infectado y comenzaron a explorarlo.

El viernes 13 de abril se cerró el puerto 80 del servidor C&C ubicado en rt*****.onedumb.com y alojado en un servidor virtual privado (VPS) en Freemont, Estados Unidos. El sábado, el puerto se abrió y el bot comenzó a comunicarse con el servidor C&C. Durante el día entero, casi todo el tráfico consistía en Basic Handshakes e intercambios, nada más.

La mañana del domingo 15 de abril, el tráfico generado por el C&C cambió. Los atacantes invadieron la conexión y comenzaron a analizar nuestro falso equipo víctima. Listaron los contenidos de la raíz y carpetas de inicio, ¡hasta robaron algunos de los documentos que pusimos dentro!

Estamos bastante seguros de que la operación del bot se hizo de forma manual, lo que significa que un atacante real revisa los equipos infectados a mano y extrae la información que contienen.

Por lo tanto, podemos confirmar que SabPub es un APT activo.

El domingo a mediodía, se cerró el dominio C&C y el bot perdió la conexión; parece que esto fue una iniciativa del servicio DNS gratuito onedumb.com y no fue producto de la atención de los medios de comunicación. Lo más interesante es que el VPS que se usó como C&C sigue activo.

Mientras analizábamos SabPub, descubrimos otra versión de la puerta trasera que parece que se creó antes. Esta versión difiere muy poco de la original — la dirección C&C incrustada en el código fuente (hardcoded) es diferente — en vez del subdominio onedumb.com que utilizaba el ejemplar original (hardcoded en el bot como “e3SCNUA2Om97ZXJ1fGI+Y4Bt”), esta sólo contiene la dirección IP del VPS (hardcoded como “OjlDLjw5Pi4+NUAuQDBA”), lo que significa que debe seguir funcionando. Su peso es de 42.556 bytes, a diferencia de los 42.580 de la versión original.

Uno de los mayores misterios es el vector de infecciones de estos ataques. Debido a que son ataques dirigidos de una forma muy específica, se dejan muy pocos rastros. Aun así, encontramos algo importante, el eslabón perdido: seis documentos de Microsoft Word que detectamos como Exploit.MSWord.CVE-2009-0563.a. En total, tenemos seis archivos de Word .docs con este veredicto, cuatro de los cuales instalan el bot MaControl. Los otros dos instalan SabPub.

Lo más interesante de esto es la historia de la segunda variante de SabPub. En nuestra colección de virus, la llamamos “8958.doc”. Esto indica que se la extrajo de un documento Word o se distribuye como un archivo Doc.

Realizamos un análisis del mismo y rastreamos su origen por MD5 (40C8786A4887A763D8F3E5243724D1C9). Los resultados son fascinantes:

• El ejemplar se subió a VirusTotal el 25 de febrero de 2012, desde dos fuentes de Estados Unidos.
• En ambos casos, el nombre del archivo original era “10th March Statemnet” (sí, en inglés, con erratas y sin extensión)
• Ninguna detección en VirusTotal en el momento (0/40)

Por si te lo preguntas, el nombre del archivo (“10th March Stetemnet”) está relacionado de forma directa con el Dalai Lama y la comunidad tibetana. El 10 de marzo de 2011, el Dalai Lama hizo una declaración especial sobre el aniversario del Día nacional del levantamiento del pueblo tibetano – de ahí sale el nombre.

Por desgracia, hay poca información en los archivos doc, pero el campo “Autor” y la fecha de creación son interesantes. En especial la fecha de creación que, si creemos en lo que dice, significa que el DOC malicioso fue creado el 10 de agosto de 2010 y actualizado en 2012 con el ejemplar SabPub. Esto es normal en este tipo de ataques y lo hemos visto antes, por ejemplo, con Duqu.

Creemos que los hechos de arriba muestran una conexión directa entre los ataques de SabPub y los de APT de Luckycat. Estamos seguros de que la puerta trasera SabPub se creó en febrero de 2012 y se distribuía mediante correos phishing dirigidos.

También es importante recalcar que SabPub no es la puerta trasera MaControl (el caso se describió aquí), pero utiliza los mismos temas para engañar a las víctimas y convencerlas de que lo abran. SabPub fue el ataque más efectivo porque ¡permaneció sin detectarse por casi dos meses!

La segunda variante de SabPub se creó en marzo, y los atacantes están usando exploits Java para infectar los ordenadores Mac OS X de sus víctimas.

SabPub sigue siendo un ataque activo, y esperamos que los atacantes lancen nuevas variantes del bot con nuevos C2s durante los próximos días/semanas.

En resumen:

• En la actualidad existen por lo menos dos variantes del bot SabPub
• Es posible que la versión más antigua del bot haya sido creada y utilizada en febrero de 2012.
• El malware se difunde mediante documentos de Word que explotan la vulnerabilidad CVE-2009-0563
• SabPub es diferente de MaControl, otro bot que se utilizó en ataques APT en febrero 2012; SabPub fue más efectivo porque logró permanecer sin ser detectado por más de 1 mes y medio.
• El APT de SabPub está activo por ahora.

*Gracias a Aleks Gostev e Igor Soumenkov por el análisis.