En esta nueva variante descubierta en Virus Total, el ataque llega desde un Applet Java que se ejecuta sin pedir ninguna interacción con el usuario aprovechándose de las vulnerabilidades ya parcheadas de Java CVE-2013-2465 y CVE-2013-2471. Una vez ejecutado se descarga el backdoor que le permite controlar al atacante la máquina infectada. Para ello crea los siguientes ficheros:
/Library/Audio/Plug-Ins/Components/AudioService /Library/LaunchAgents/com.apple.AudioService.plist
Como se puede suponer, para conseguir la persistencia al reinicio, el malware crea un LaunchAgent que arranca el backdoor y contacta con el servidor de C&C situado en China (mail.tbnewspaper.com), a la espera de recibir comandos.
Figura 1: Applet Java de OSX/Tibet.D
Desde Seguridad Apple te recomendamos que tengas actualizado todo el software - si no has actualizado Java hazlo ya - y si puedes que pongas un antimalware con protección en tiempo real y con la base de datos de firmas actualizadas constantemente.
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths - El lado del mal
Continúar leyendo...