Noticia OSX/Crisis.C: Un malware para OS X llamado Francisco

compudemano

compudemano

Moderador
26 Jul 2013
381.518
34
38
Cr 15 13-35 Lc 1 Los Alpes, Pereira - Colombia
www.compudemano.com
Dese Intego informan de que vía Virus Total se ha distribuido una nueva muestra de malware detectada para sistemas Mac OS X. Se trata de una nueva variación del malware OSX/Crisis que viene el rootkit Da Vinci de la empresa Hacking Team. Esta pieza de malware es una mutación que venía un fichero llamado "Frantisek", que al final es el nombre de Francisco en los países de la Europa del Este. Como todas las muestras de OSX/Crisis se instala vía dropper que descarga el rootkit y como en las últimas muestras funciona en Mac OS X 10.5, 10.6 y OS X 10.7 Lion, pero crashea en OS X Mountain Lion y Mavericks.

En la parte referente al dropper parece que Hacking Team ha cambiado un poco el código y el formato del fichero de configuración, ya que según el análisis realizado por Intego ahora utilizar un segmento de código que no aparece en previas muestras, llamado __INITSTUB, que es llamado antes de ejecutarse la función _main del programa, algo que haría que un ingeniero de reversing con poca experiencia pudiera infectarse antes de llegar al main del programa.


Figura 1: Símbolos de OSX/Crisis.C obtenidos con IDA

Según el análisis que han hecho los ingenieros de Intego, cuando OSX/Crisis.C consigue ejecución se oculta en la carpeta del perfil de usuario que está en la ruta ~Library/Preferences, dentro de una falsa aplicación que tiene como nombre del bundle OvzD7xFr.app. Los ficheros que se crean dentro son:
El fichero del backdoor: 8oTHYMCj.XIl (32-bit)
Fichero de configuración : ok20utla.3-B
Extensiones del kernel: Lft2iRjk.7qa (32-bit) y 3ZPYmgGV.TOA (64-bit)
Script de adición: EDr5dvW8.p_w (FAT)
Servicio XPC: GARteYof._Fk (FAT)
Icono TIFF de Preferencias del Sistema.TIFF: q45tyh
Cuando el malware consigue ejecución entonces se crea un LaunchAgent llamado com.apple.mdworker.plist para conseguir las persistencia en el sistema. Al igual que OSX/Crisis.B esta muestra está ofuscada con el packer MPress y aunque tiene pequeños cambios sigue funcionando como las versiones anteriores, tal y como explican en Intego, se oculta a si mismo modificando la aplicación del Monitor de Actividad, toma capturas de pantalla, graba audio y vídeo por la webcam, extrae datos del usuario, su ubicación GPS, se conecta a redes WiFi y sincroniza todos los datos con un panel de control del que recibe las ordenes.

No se sabe muy bien cómo o por donde se está distribuyendo, ya que este tipo de piezas de software suelen usarse para ataques dirigidos, pero merece la pena conocer cómo funcionan estas muestras para estar siempre alerta y mantener el sistema protegido.

Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths - El lado del mal




Continúar leyendo...
 
Iniciar sesión o registrarme para responder aquí.
Arriba Abajo