En colaboración con los analistas de AlienVaultLabs, hemos analizado una serie de ataques dirigidos contra los usuarios de Uyghur Mac OS X que se realizaron los meses pasados. Puedes leer su análisis aquí . También puedes seguir leyendo para conocer nuestra investigación.
Ya habíamos escrito sobre ataques dirigidos contra los activistas tibetanos en los que se usaba malware para Mac OS X. A finales de junio también hicimos un informe sobre los ataques de malware para Mac OS X dirigidos contra los seguidores de Uyghur. Estos ataques utilizaban la ingeniería social para infectar a los usuarios con “Backdoor.OSX.MaControl.b”.
Los meses pasados estuvimos vigilando una serie de ataques dirigidos contra quienes apoyan a los Uyghur, entre los que destacan ataques al Congreso Mundial Uyghur (WUC por sus siglas en inglés).
Se utilizaron varios nombres de archivos en estos ataques, entre ellos:
Hosh Hewer.doc
Jenwediki yighingha iltimas qilish Jediwili.doc
list.doc
Press Release on Commemorat the Day of Mourning.doc
The Universal Declaration of Human Rights and the Unrecognized Population Groups.doc
Uyghur Political Prisoner.doc
2013-02-04 – Deported Uyghurs.doc
Jenwediki yighingha iltimas qilish Jediwili(Behtiyar Omer).doc
Kadeer Logistics detail.doc
Aunque se observaron algunos de estos ataques en 2012, en enero y febrero de 2013 notamos un aumento notable en su cantidad, lo que indica que los cibercriminales responsables están muy activos.
Todos los ataques utilizan exploits para la vulnerabilidad CVE-2009-0563 (Microsoft Office). E este caso, se puede identificar con facilidad por el autor del documento subyacente, el famoso “capitán” del que ya hemos hablado .
Todos los documentos tienen un segundo documento “falso” que se muestra a la víctima cuando el exploit se ejecuta con éxito. Estos son algunos ejemplos:
Malware distribuido
Cuando tiene éxito, el exploit descarga una puerta trasera en forma de un ejecutable 101/104 KB Universal Mach-O. Parece que esta pequeña puerta trasera tiene muy poca funcionalidad original de este código malicioso. Instala una puerta trasera mínima y un ladrón de contactos personal. El autor compiló en un puerto OS X de “Tiny Shell”, una puerta trasera de Unix de código abierto que originalmente se lanzó en 2003, y que instalaron como un servicio “systm” en el sistema OS X de la víctima. El código incluye criptografías integradas AES y SHA1, además de preguntas y claves secretas incrustadas en el código. Se quita parte del código TSH original para contraer el producto y, en otra operación simple, los operadores decidieron obtener el código secreto “12345678” para su llave secreta AES. La puerta trasera también incluye funcionalidades integradas en el código para extraer un ejecutable arbitrario de los C2s.
Información de la ruta de construcción que se ve en la versión de 104KB de la puerta trasera
Se puede encontrar información sobre la plataforma en la que se compiló el ejecutable dentro del binario mayor, que dirige a Users/cbn/Documents/WorkSpace/design/server/build/server.build/Release/”. La parte “cbn” puede ser el nombre de usuario de la persona que creó la puerta trasera.
Además del código “tshd”, el atacante incluyó una funcionalidad para interactuar con las listas de contactos de la víctima. También llama la atención que el atacante decidió dejar una tarjeta de llamada “me” en el sistema de la víctima.
Desde cierto punto de vista, esto tiene sentido. Si la puerta trasera se descubre rápido en el sistema de la víctima, el atacante tiene una lista de contactos de confianza para engañar y recobrar el control del sistema. El atacante también podría estar tratando de identificar las conexiones de los objetivos más valiosos.
Información del Comando y Control
El malware se conecta a los siguientes C2s:
Versión de puerta trasera | C2 | IP |
---|---|---|
101880 bytes | update.googmail.org | 207.204.245.192 |
104140 bytes | apple12.crabdance.com | N/A |
Estos son dos dominios APT muy conocidos que se usaron por años con un paquete de herramientas para Windows que engañaba a los usuarios de la mensajería instantánea de MSN y Yahoo!
El segundo dominio (apple12.crabdance.com) no está disponible, pero respondía a 207.204.245.192 y 207.204.231.196. Ambos servidores están alojados en “Black Oak Computers Inc.”, que es un conocido y resistente proveedor de alojamiento que suele ignorar casi todas las solicitudes de cierre.
Esta puerta trasera de Mac OS X inicia una conexión con el servidor, y su función “tshd_put_file” se configuró para descargar datos robados en el directorio “/downloads/” que se encuentra allí.
Mediante validaciones de identidad DNS pasivas, observamos otros dominios que dirigen a los mismos IPs o están asociados con estas campañas:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
zbing.crabdance.com www.googmail.org bella.googmail.org polat.googmail.org video.googmail.org photo.googmail.org music.googmail.org news.googmail.org kisi.ddns.info mymail.serveuser.com rambler.serveuser.com nicmail.dns04.com webmailactivate.ddns.us www.update.serveusers.com |
Recomendaciones para tu defensa
Para resumir nuestros descubrimientos, en enero y febrero de 2013 detectamos un aumento notable en los ataques dirigidos contra los usuarios de Mac OS X de Uyghur. Todos aprovechaban la vulnerabilidad CVE-2009-0563, que Microsoft parchó en junio de 2009.
Estas son algunas recomendaciones para que te protejas contra estos ataques:
Recomendación | Razón |
---|---|
Emplea una cuenta de correo @gmail.com | El servicio Google Mail (@gmail) incluye mecanismos de defensa adicionales contra los ataques dirigidos, que otros proveedores de correo gratuitos no tienen. Esto incluye métodos de autentificación de dos factores y alertas contra los ataques patrocinados por gobiernos. |
Actualiza tu equipo con la última versión de Microsoft Office | Microsoft ya publicó en junio de 2009 un parche para la vulnerabilidad que explotan estos ataques. Si office está actualizado, será inmune a estos ataques. |
Instala un paquete integral de seguridad en Internet | Un paquete integral de seguridad en Internet incluye un cortafuegos y protección contra el malware y el spam. Esto protege contra los ataques más comunes y hace que a los cibercriminales les cueste mucho más irrumpir en tu ordenador (ya sea PC o Mac OS X). |
Utiliza Google Chrome para navegar en Internet | El navegador Chrome de Google incluye una amplia gama de mejoras de seguridad que hace que, comparado con otros navegadores, sea más resistente a ataques de malware. |
Ante la duda, pregunta a un amigo | Si recibes correos electrónicos sospechosos, nunca está de más confirmar con el remitente si de verdad te envió ese documento. |
Con estos ataques, seguimos viendo una expansión de las capacidades APT para atacar a los usuarios de Mac OS X. En general, los usuarios de Mac operan bajo una falsa impresión de seguridad que se formó con el tradicional mantra que dicta que “los ordenadores Mac no se infectan”. Como se demostró con epidemias anteriores como Flashback , los usuarios de Mac no son inmunes al malware. Y en especial con el aumento de los ataques dirigidos contra usuarios de Mac, podemos esperar que aparezca más malware y exploits diseñados para infectar Mac OS X.
*Gracias a mis colegas Kurt Baumgartner y Nicolas Brulez por el apoyo con el análisis.
Se intensifican los ciberataques contra los usuarios Uyghur de Mac OS X