La inmensa desinformación sobre el malware “OSX/Crisis”

La inmensa desinformación sobre el malware “OSX/Crisis”

http://feedproxy.google.com/~r/hispasec/rhmq/~3/21-nz4cT_q8/la-inmensa-desinformacion-sobre-el.html

Vuelve
a ocurrir. La combinación de los medios generalistas (que no quieren que la
realidad arruine una buena historia) y las casas antivirus (que ven en Mac un
nuevo nicho de mercado) convierten cualquier dato sobre malware para Mac en un
batiburrillo de confusión y desinformación. ¿Qué pasa en realidad con el
malware OSX/Crisis? Vamos a intentar aclarar algo.

Las casas antivirus lo están
llamado Crisis o Morcut indistintamente. Veamos primero en qué consiste el
malware, para poder situarnos.

El malware: distribución

Un aspecto que suele confundirse
en el malware es la distribución (cómo llega al sistema) y el fin (qué hace una
vez ahí). La distribución de Crisis se está haciendo desde un archivo .jar (un
applet llamado AdobeFlashPlayer.jar.). No conocemos puntos de descarga (webs
que lo alojen y distribuyan). Por ahora, parece que no utiliza vulnerabilidades
para instalarse, por lo que el usuario deberá lanzar el applet de forma más o
menos consciente cuando su navegador le pregunte. Como el applet no valida la
cadena de confianza de certificados, aparecerá una alerta. Los datos de la
firma se encuentran dentro de la carpeta META-INF del .jar.

Los .jar son archivos ZIP en
realidad, que contienen normalmente .class, ejecutables de Java. El caso de
Crisis es curioso porque ese .jar (zip, en realidad) contiene: un fichero
.class, un ejecutable de Windows, y otro de Mac.

El archivo .class, sirve
simplemente para distinguir el sistema operativo y lanzar uno u otro
ejecutable. El código habla por sí mismo.

Quizás el hecho de que se
distribuya en formato .jar (Java es multiplataforma), y que contenga dos
archivos, ha propiciado que algunas noticias hablen de “malware para Mac y Windows”,
abriendo la puerta a la idea de malware multiplataforma (un solo fichero que
funcionaría en los dos sistemas operativos) cuando la realidad es bien
distinta. Se trata de dos ejecutables nativos para cada plataforma, y un
fichero en Java que se encarga de elegir uno u otro en base al sistema sobre el
que se ejecute. Tan simple como eso. Podía haber elegido cualquier método para
conseguir esto, como por ejemplo lo que solían hacer en 2007 los DNSChanger:
según el user-agent del navegador, la página del atacante intentaba descargar
un EXE o un DMG.

El malware: difusión

La difusión parece muy escasa en
estos momentos, según comprobamos en VirusTotal (si queremos tomarlo como
referencia). El .jar en sí, apareció el día 24 de julio y ha sido enviado 9
veces.

El ejecutable para Mac que está
dentro (y una variante que quizás, por tener la mitad del tamaño que la muestra
conocida, se trate de otra muestra diferente) ha sido enviadas otras tantas
veces.

El malware para Windows, es muy
detectado (26 de 39) pero su nombre es un misterio. Cada casa lo ha clasificado
como ha creído conveniente.

El archivo .jar, como viene
siendo habitual, es mucho menos detectado. Solo 5 motores por firmas.

El éxito de un malware está sobre
todo en su método de difusión: cuando más automatizado mejor. Un malware que se
distribuya a través de una ejecución transparente en el sistema (sin
intervención del usuario) gracias a una vulnerabilidad, será muy difundido.
Cuanto menos conocida la vulnerabilidad, más éxito para el malware. Por el
contrario, si el malware requiere que el usuario lo ejecute “con su propio ratón”, dependerá por
completo de la ingeniería social empleada. Cuanto más ocurrente o atractiva,
más usuarios picarán. En el caso de Crisis, parece que no aprovecha ninguna
vulnerabilidad. Al tratarse de un .jar firmado, Java lanzará una alerta cuando
se ejecuta, cosa que dificultará aún más que los usuarios lo lancen.

El malware: ¿qué hace?

La tercera cuestión que hay que
plantearse es qué hace este troyano. Como hemos comentado, tras una
distribución “original”, se
ejecutará en el sistema o el binario para Windows o el de Mac, con lo que en
realidad tenemos dos.

El ejecutable para Mac es un
espía capaz de registrar las teclas del Mac, activar el micrófono, la cámara,
robar el portapapeles, etc. Un spyware “tradicional” que permite a un tercero controlar el sistema y robar
información. Al parecer puede estar basado en una herramienta comercial. Ni siquiera intenta elevar privilegios: si el usuario lo ejecuta
con privilegios, podrá esconderse mejor y controlar más, y si no, se conformará
con lo que pueda. Un dato importante es que este malware se dio oportunamente a
conocer cuando apareció la nueva versión Mountain Lion de Mac. Este hecho es
totalmente irrelevante, pero parece que muchos titulares hablan de que se trata
de un malware para esa versión cuando no es cierto. Funcionará en cualquier
Mac.    
No hemos analizado el
ejecutable para Windows en profundidad, pero parece una puerta trasera
igualmente (que curiosamente hace uso de PuTTy). Tiene funcionalidad de rootkit
y roba información del sistema.

Resumiendo

Se trata de un malware para Mac y
otro para Windows, que se distribuyen a través de un .jar, sin aprovechar fallos de seguridad en
Apple o Windows y cuyo fin es espiar a los infectados. Ni demuestra la mayor o
menor inseguridad de Apple (porque no aprovecha ninguna vulnerabilidad), ni que
el malware para Mac se esté consolidando (su difusión es pequeña comparada con
otras amenazas para esa plataforma), ni que Apple haya dejado de ser inmune al
malware (un sinsentido creído todavía por muchos)…

Lo que en mi opinión demuestra,
es que existe una tremenda falta de entendimiento entre los usuarios y los
medios de comunicación.

Más información:

Mac malware spies on infected users through
video and audio capture

http://nakedsecurity.sophos.com/2012/07/26/mac-malware-spies-morcut-crisis/

Mac malware Crisis on Mountain Lion eve?

http://nakedsecurity.sophos.com/2012/07/25/mac-malware-crisis-on-mountain-lion-eve/

New Apple Mac Trojan Called OSX/Crisis Discovered

http://www.intego.com/mac-security-blog/new-apple-mac-trojan-called-osxcrisis-discovered-by-intego-virus-team/

More on OSX/Crisis —Advanced Spy Tool

http://www.intego.com/mac-security-blog/more-on-osxcrisis-advanced-spy-tool/

Sergio de los Santos

ssantos@hispasec.com

Twitter: @ssantosv

Enviado por gReader

Anuncios
Esta entrada fue publicada en security. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s