Malware Troyan OSX/Crisis

Malware Troyan OSX/Crisis

12/12/2017Snow leopardApplesan@ Active

Karma:24

Malware Troyan OSX/Crisis



Intego ha anunciado Hoy 25 Jul el descubrimiento de un nuevo Malware para OS X que ha denominado OSX/Crisis que ataca fundamentalmente a Mac OS X 10.6 Snow Leopard y OS X 10.7 Lion. Este nuevo malware no está ampliamente distribuido en internet, lo que supone una amenaza baja por una parte, aunque sus características le permiten autoinstalarse sin la intervención del usuario.

Crisis es un Caballo de Troya que abre la puerta a la instalación de un malware mucho más elaborado. El software se instala sin solicitar la contraseña de usuario y sin la intervención del mismo, se protege ante los reinicios del sistema, lo que implica que sigue funcionando hasta que es retirado del ordenador. En función del tipo de cuenta sobre el que se instala, el maleare instala diferentes componentes y aunque está pendiente de comprobar hasta que punto son una amenaza los componentes instalados, el malware exhibe algunas técnicas para evitar su análisis además de una efectiva táctica de ocultación, características poco comunes en el malware para OS X.


Si el malware llega a instalarse en un ordenador con acceso a superusaurio (roto), descarga un rootkit para hacerse invisible creando hasta 17 archivos y carpetas y 14 si el usuario no es el Root del sistema. Muchos de esos archivos y carpetas reciben nombres aleatorios, pero algunos de ellos mantienen una estructura fija: con acceso o sin acceso Root, estos archivos si mantienen el nombre determinado por el troyano:


/Library/ScriptingAdditions/appleHID/Contents/Resources/appleOsax.r

Con acceso Root, estos archivos siempre están presentes:

/System/Library/Frameworks/Foundation.framework/XPCServices/
com.apple.mdworker_server.xpc/Contents/MacOS/com.apple.mdworker_server

/System/Library/Frameworks/Foundation.framework/XPCServices/
com.apple.mdworker_server.xpc/Contents/Resources/

El componente que gestiona la puerta trasera del malware llama cada 5 minutos a un servidor con IP 176.58.100.37 a la espera de instrucciones. Los archivos están creados para dificultar la ingeniería inversa cuando se trata de analizar el malware, una táctica frecuente en el software malicioso para Windows que es poco común en este tipo de software para OS X.


Saludos

RELACCIONADO CON Malware Troyan OSX/Crisis

Historia amp