
Por ejemplo, con el análisis de cadenas de una muestra se puede ver cuál es la dirección IP del panel de control a la que la RAT se conecta y el dominio en concreto. En este caso concreto analizado por ellos, el país es Estados Unidos, lo cual puede llamar la atención. Las direcciones IP encontradas son las siguientes:
- 204.45.207.40 con hostname 212.clients.instantdedis.com.
- 38.89.137.248.
La información sobre las evidencias y la RAT que han sido publicadas están disponibles en los siguientes enlaces:
Todas las capturas de tráfico recogidas por los investigadores muestran que el tráfico de AlienSpy tiene campos idénticos, siguiendo un flujo GZIP, mientras que en OS X tienen distintos datos. Los archivos JAR que tienen el payload no tienen ningún malware empaquetado.
Para evitar caer en infecciones de RATs escritas en Java en sistemas OS X es recomendable tener actualizado el sistema operativo, tener un antimalware en tiempo real y, más que recomendable, tener fortificadas las opciones de Java.
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths
Continúar leyendo...