Noticia Snake/Turla: Un nuevo malware avanzado en OS X

Un nuevo malware complejo está afectando a los sistemas Mac. En este caso se trata de Snake/Turla/Uroburos. Como se puede ver tiene distintos nombres y es un framework de malware relativamente o bastante complejo el cual puede ser utilizado para llevar a cabo ataques dirigidos o APT. El malware fue encontrado en el año 2016, reportado por la empresa denominada Fox-IT. Lo encontraron en varios casos de Incident Response, dónde los investigadores tuvieron que investigar casos de robo de información confidencial en varias empresas. Los objetivos dónde el malware ha sido protagonista van desde gobiernos, militares y grandes empresas.

Los investigadores analizaron empresas comprometidas en las que los atacantes utilizaron Snake, el cual ha sido atribuido a ataques a Rusia como puede verse en el documento publicado. El código de este malware es más sofisticado que otros y tiene una estructura e infraestuctura más compleja. Para las versiones de este malware en Windows dispone de un rootkit que oculta componentes y que permite al atacante comunicarse con el malware. La versión en OS X es una portación de la versión de Windows.


¿Cómo se empaqueta todo esto? El binario viene comprimido dentro de un archivo ZIP, el cual es llamado Adobe Flash Player.app.zip. Esto no es una versión de Flash Player normal como uno puede imaginarse. Es una versión de Adobe Flash Player con una puerta trasera o backdoor. El script install.sh está modificado para conseguir explotar el vector de infección. La aplicación está firmada con un certificado válido emitido por el desarrollador, los cuales, generalmente suelen ser robados. Por lo que se puede decir que está firmado por una persona al que robaron el certificado de desarrollador. De esta forma evitan levantar sospechas con Gatekeeper.

Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths




Continúar leyendo...