
En la parte referente al dropper parece que Hacking Team ha cambiado un poco el código y el formato del fichero de configuración, ya que según el análisis realizado por Intego ahora utilizar un segmento de código que no aparece en previas muestras, llamado __INITSTUB, que es llamado antes de ejecutarse la función _main del programa, algo que haría que un ingeniero de reversing con poca experiencia pudiera infectarse antes de llegar al main del programa.
Según el análisis que han hecho los ingenieros de Intego, cuando OSX/Crisis.C consigue ejecución se oculta en la carpeta del perfil de usuario que está en la ruta ~Library/Preferences, dentro de una falsa aplicación que tiene como nombre del bundle OvzD7xFr.app. Los ficheros que se crean dentro son:
El fichero del backdoor: 8oTHYMCj.XIl (32-bit)
Fichero de configuración : ok20utla.3-B
Extensiones del kernel: Lft2iRjk.7qa (32-bit) y 3ZPYmgGV.TOA (64-bit)
Script de adición: EDr5dvW8.p_w (FAT)
Servicio XPC: GARteYof._Fk (FAT)
Icono TIFF de Preferencias del Sistema.TIFF: q45tyh
Cuando el malware consigue ejecución entonces se crea un LaunchAgent llamado com.apple.mdworker.plist para conseguir las persistencia en el sistema. Al igual que OSX/Crisis.B esta muestra está ofuscada con el packer MPress y aunque tiene pequeños cambios sigue funcionando como las versiones anteriores, tal y como explican en Intego, se oculta a si mismo modificando la aplicación del Monitor de Actividad, toma capturas de pantalla, graba audio y vídeo por la webcam, extrae datos del usuario, su ubicación GPS, se conecta a redes WiFi y sincroniza todos los datos con un panel de control del que recibe las ordenes.Fichero de configuración : ok20utla.3-B
Extensiones del kernel: Lft2iRjk.7qa (32-bit) y 3ZPYmgGV.TOA (64-bit)
Script de adición: EDr5dvW8.p_w (FAT)
Servicio XPC: GARteYof._Fk (FAT)
Icono TIFF de Preferencias del Sistema.TIFF: q45tyh
No se sabe muy bien cómo o por donde se está distribuyendo, ya que este tipo de piezas de software suelen usarse para ataques dirigidos, pero merece la pena conocer cómo funcionan estas muestras para estar siempre alerta y mantener el sistema protegido.
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths - El lado del mal

Continúar leyendo...