News

Se intensifican los ciberataques contra los usuarios Uyghur de Mac OS X

En colaboración con los analistas de AlienVaultLabs, hemos analizado una serie de ataques dirigidos contra los usuarios de Uyghur Mac OS X que se realizaron los meses pasados. Puedes leer su análisis aquí . También puedes seguir leyendo para conocer nuestra investigación.

Ya habíamos escrito sobre ataques dirigidos contra los activistas tibetanos en los que se usaba malware para Mac OS X. A finales de junio también hicimos un informe sobre los ataques de malware para Mac OS X dirigidos contra los seguidores de Uyghur. Estos ataques utilizaban la ingeniería social para infectar a los usuarios con “Backdoor.OSX.MaControl.b”.

Los meses pasados estuvimos vigilando una serie de ataques dirigidos contra quienes apoyan a los Uyghur, entre los que destacan ataques al Congreso Mundial Uyghur (WUC por sus siglas en inglés).

Se utilizaron varios nombres de archivos en estos ataques, entre ellos:

Concerns over Uyghur People.doc
Hosh Hewer.doc
Jenwediki yighingha iltimas qilish Jediwili.doc
list.doc
Press Release on Commemorat the Day of Mourning.doc
The Universal Declaration of Human Rights and the Unrecognized Population Groups.doc
Uyghur Political Prisoner.doc
2013-02-04 – Deported Uyghurs.doc
Jenwediki yighingha iltimas qilish Jediwili(Behtiyar Omer).doc
Kadeer Logistics detail.doc

Aunque se observaron algunos de estos ataques en 2012, en enero y febrero de 2013 notamos un aumento notable en su cantidad, lo que indica que los cibercriminales responsables están muy activos.

Todos los ataques utilizan exploits para la vulnerabilidad CVE-2009-0563 (Microsoft Office). E este caso, se puede identificar con facilidad por el autor del documento subyacente, el famoso “capitán” del que ya hemos hablado .

Todos los documentos tienen un segundo documento “falso” que se muestra a la víctima cuando el exploit se ejecuta con éxito. Estos son algunos ejemplos:

Malware distribuido

Cuando tiene éxito, el exploit descarga una puerta trasera en forma de un ejecutable 101/104 KB Universal Mach-O. Parece que esta pequeña puerta trasera tiene muy poca funcionalidad original de este código malicioso. Instala una puerta trasera mínima y un ladrón de contactos personal. El autor compiló en un puerto OS X de “Tiny Shell”, una puerta trasera de Unix de código abierto que originalmente se lanzó en 2003, y que instalaron como un servicio “systm” en el sistema OS X de la víctima. El código incluye criptografías integradas AES y SHA1, además de preguntas y claves secretas incrustadas en el código. Se quita parte del código TSH original para contraer el producto y, en otra operación simple, los operadores decidieron obtener el código secreto “12345678” para su llave secreta AES. La puerta trasera también incluye funcionalidades integradas en el código para extraer un ejecutable arbitrario de los C2s.

Información de la ruta de construcción que se ve en la versión de 104KB de la puerta trasera

Se puede encontrar información sobre la plataforma en la que se compiló el ejecutable dentro del binario mayor, que dirige a Users/cbn/Documents/WorkSpace/design/server/build/server.build/Release/”. La parte “cbn” puede ser el nombre de usuario de la persona que creó la puerta trasera.

Además del código “tshd”, el atacante incluyó una funcionalidad para interactuar con las listas de contactos de la víctima. También llama la atención que el atacante decidió dejar una tarjeta de llamada “me” en el sistema de la víctima.

Desde cierto punto de vista, esto tiene sentido. Si la puerta trasera se descubre rápido en el sistema de la víctima, el atacante tiene una lista de contactos de confianza para engañar y recobrar el control del sistema. El atacante también podría estar tratando de identificar las conexiones de los objetivos más valiosos.

Información del Comando y Control

El malware se conecta a los siguientes C2s:

Versión de puerta trasera C2 IP
101880 bytes update.googmail.org 207.204.245.192
104140 bytes apple12.crabdance.com N/A

Estos son dos dominios APT muy conocidos que se usaron por años con un paquete de herramientas para Windows que engañaba a los usuarios de la mensajería instantánea de MSN y Yahoo!

El segundo dominio (apple12.crabdance.com) no está disponible, pero respondía a 207.204.245.192 y 207.204.231.196. Ambos servidores están alojados en “Black Oak Computers Inc.”, que es un conocido y resistente proveedor de alojamiento que suele ignorar casi todas las solicitudes de cierre.

Esta puerta trasera de Mac OS X inicia una conexión con el servidor, y su función “tshd_put_file” se configuró para descargar datos robados en el directorio “/downloads/” que se encuentra allí.

Mediante validaciones de identidad DNS pasivas, observamos otros dominios que dirigen a los mismos IPs o están asociados con estas campañas:

Recomendaciones para tu defensa

Para resumir nuestros descubrimientos, en enero y febrero de 2013 detectamos un aumento notable en los ataques dirigidos contra los usuarios de Mac OS X de Uyghur. Todos aprovechaban la vulnerabilidad CVE-2009-0563, que Microsoft parchó en junio de 2009.

Estas son algunas recomendaciones para que te protejas contra estos ataques:

Recomendación Razón
Emplea una cuenta de correo @gmail.com El servicio Google Mail (@gmail) incluye mecanismos de defensa adicionales contra los ataques dirigidos, que otros proveedores de correo gratuitos no tienen. Esto incluye métodos de autentificación de dos factores y alertas contra los ataques patrocinados por gobiernos.
Actualiza tu equipo con la última versión de Microsoft Office Microsoft ya publicó en junio de 2009 un parche para la vulnerabilidad que explotan estos ataques. Si office está actualizado, será inmune a estos ataques.
Instala un paquete integral de seguridad en Internet Un paquete integral de seguridad en Internet incluye un cortafuegos y protección contra el malware y el spam. Esto protege contra los ataques más comunes y hace que a los cibercriminales les cueste mucho más irrumpir en tu ordenador (ya sea PC o Mac OS X).
Utiliza Google Chrome para navegar en Internet El navegador Chrome de Google incluye una amplia gama de mejoras de seguridad que hace que, comparado con otros navegadores, sea más resistente a ataques de malware.
Ante la duda, pregunta a un amigo Si recibes correos electrónicos sospechosos, nunca está de más confirmar con el remitente si de verdad te envió ese documento.

Con estos ataques, seguimos viendo una expansión de las capacidades APT para atacar a los usuarios de Mac OS X. En general, los usuarios de Mac operan bajo una falsa impresión de seguridad que se formó con el tradicional mantra que dicta que “los ordenadores Mac no se infectan”. Como se demostró con epidemias anteriores como Flashback , los usuarios de Mac no son inmunes al malware. Y en especial con el aumento de los ataques dirigidos contra usuarios de Mac, podemos esperar que aparezca más malware y exploits diseñados para infectar Mac OS X.

*Gracias a mis colegas Kurt Baumgartner y Nicolas Brulez por el apoyo con el análisis.

Se intensifican los ciberataques contra los usuarios Uyghur de Mac OS X

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada