La semana pasada, Apple publicó dos actualizaciones urgentes para Mac OS X que tenían como función:
1. Eliminar el malware Flashback, sobre el que ya hemos escrito .
2. Desactivar de forma automática el complemento de navegador Java y Java Web Start para dejar inactivos los applets java en los navegadores
El segundo paso en particular demuestra la gravedad de la vulnerabilidad CVE-2012-0507, que Flashback ha estado explotando para infectar a casi 700.000 usuarios mediante descargas “drive-by”.
Fue una buena decisión porque podemos confirmar que hay otro programa malicioso para Mac suelto en la red, Backdoor.OSX.SabPub.a, que se está propagando mediante exploits Java.
Esta nueva amenaza es una puerta trasera OS X personalizada, que es posible que haya sido diseñada para usarse en ataques dirigidos. Después de que se activa en un sistema infectado, se conecta con un sitio web remoto para buscar instrucciones. La puerta trasera puede tomar capturas de pantalla de la sesión del usuario y ejecutar comandos en el ordenador infectado.
La puerta trasera se conecta a un servidor remoto para buscar trabajo
El sitio web C&C remoto, rt***.onedumb.com, está alojado en un servidor virtual privado ubicado en Fremont, California, Estados Unidos.
Dirección C&C codificada (“hostname_en”) en la puerta trasera
“Onedumb.com” es un servicio gratuito de nombres de dominio dinámicos. Es interesante notar que el C&C de la IP 199.192.152.* también se usó en otros ataques dirigidos (conocidos como “Luckycat”).
Si aceptamos la fecha estampada en el dropper Java, entonces el dropper se creó el 16 de marzo de 2012… ¡casi hace un mes! Parece que se envió el dropper de Java al sitio web ThreatExpert el 12 de abril.
Detectamos el exploit Java que se utiliza en el dropper como Exploit.Java.CVE-2012-0507.bf.
Uno de los componentes del dropper también se envió al sitio web de análisis múltiples “VirusTotal” el 2 de abril. Desde entonces, se ha enviado una vez más: en ambos casos, desde China.
Los exploits de Java parecen muy tradicionales, pero han sido ofuscados con ZelixKlassMaster , un ofuscador de Java flexible y bastante poderoso. Es obvio que esto se hizo para evitar que los productos antivirus los detecten.
Por ahora no se sabe cómo se infectan los usuarios con esta amenaza, pero el bajo número de infecciones y su funcionalidad de backdoor indican que lo más probable es que se esté utilizando en ataques dirigidos. Muchos informes indican que el ataque se lanzó mediante correos electrónicos que contienen una URL que dirige a dos sitios web que alojan el exploit, ubicados en Estados Unidos y Alemania.
El momento del descubrimiento de esta puerta trasera es interesante porque en marzo aparecieron muchos informes sobre ataques contra usuarios de Mac OS X de activistas a favor del Tíbet. El malware no se parece al que se utiliza en estos ataques, aunque es posible que sea parte de la misma campaña o de otras similares.
Otro detalle importante es que la puerta trasera se compiló con información de depuración de programas, lo que facilita el análisis. Esto indica que puede que la puerta trasera siga en desarrollo y esta no sea la versión final.
Seguimos investigando este malware y publicaremos las actualizaciones necesarias. Mientras tanto, puedes leer este artículo con 10 pasos simples para aumentar la seguridad de tu Mac.
Puerta trasera SabPub para Mac OS X: Exploits Java, ataques dirigidos y posible conexión con APTs