Aumentan los ataques contra usuarios uigures de Mac Os X

0

En AlienVault Labs se ha tratado recientemente una serie de casos de ataques dirigidos contra usuarios de Mac de la etnia uigur (República independiente de China) que han tenido lugar durante los ultimos meses. Los ataques han ido aumentando en intensidad, como han constatado los expertos de kaspersky Labs.

Mucho se ha escrito previamente sobre los ataques de malware recibidos por activistas tibetanos usuarios de Mac Os X. Los primeros ataques de malware contra el nuevo objetivo, los  simpatizantes de los uigures, datan de Junio de 2012. Estos ataques se valieron de la ingeniería social para atacar máquinas de usuarios confiados con el exploit “Backdoor.OSX.MaControl.b”.

Además, durante los últimos meses se han monitorizado una serie de ataques dirigidos contra simpatizantes de la causa uigur, principalmente contra el WUC o World Uyghur Congress. Varios nombres de archivos han sido empleados en estos ataques, incluyendo:

Concerns over Uyghur People.doc Hosh Hewer.doc Jenwediki yighingha iltimas qilish Jediwili.doc list.doc Press Release on Commemorat the Day of Mourning.doc The Universal Declaration of Human Rights and the Unrecognized Population Groups.doc Uyghur Political Prisoner.doc 2013-02-04 - Deported Uyghurs.doc Jenwediki yighingha iltimas qilish Jediwili(Behtiyar Omer).doc Kadeer Logistics detail.doc

Aunque algunos de estos ataques ya fueron observados en Junio de 2012, se ha comprobado un crecimiento constante del número de ataques durante Enero y Febrero de 2013, lo cual indica que los atacantes están especialmente activos en estos momentos.

Todos los ataques se valen de exploits para el fallo de seguridad indicado en el CVE-2009-0563 (corresponden a Microsoft office) Este exploit en concreto es facilmente indentificable porque el autor ha puesto su firma sobre el archivo, se trata del famoso “Captain” (capitán) del que se habló meses atrás por intentar crear una red de bots por medio de una vulnerabilidad encontrada en el nuevo sistema operativo Mac Os X. 

Todos los documentos contienen un segundo doumento falso o “fake“, que será mostrado a la victima una vez que el exploit ha funcionado satisfactoriamente. Algunos ejemplos: 

MALWARE DESCARGADO

Cuando la ejecución es exitosa, el exploit descarga un backdoor o “puerta trasera” con forma de ejecutable Mach-O el cual tiene un tamaño de 101 a 104 kb. Esta pequeña backdoor parece tener funcionalidad muy limitada relacionada únicamente con su código malicioso. Se pone en marcha y ejecuta un módulo con el objetivo de robar información de contacto personal. El autor ha compilado este backdoor valiendose de una variante de “Tiny Shell“, una puerta trasera diseñada en 2003 sobre código UNIX. Se ejecuta entonces como servicio “systm” en el sistema Mac Os X de la víctima. 

El código incluye criptografías AES y SHA1 incorporadas junto con ciertas claves secretas y respuestas. Parte del código TSH original es simplemente separado para hacer desaparecer al destinatario (atacante) y, en otra muestra de trabajo simple, los creadores han decidido escoger la clave “12345678” para su código secreto cifrado con AES. El backdoor también incluye funcionalidad para descargar un ejecutable desde los C2. 

Ruta de construcción visible en la versión de 104kb del malware

La información que indica en que plataforma fué compilado el ejecutable se puede ver en el código binario más largo, que apunta a “/Users/cbn/Documents/WorkSpace/design/server/build/server.build/Release/”. La parte “cbn” probablemente es el nombre de usuario de la persona que creo la “puerta trasera”

Además del código “tshd” el atacante ha incluído funcionalidad para interactuar con la lista de contactos de la víctima. Curiosamente, el atacante también decididió dejar una tarjeta de contacto llamada “yo” en sistema vulnerado.

Desde cierto punto de vista esto tiene importancia, ya que si el backdoor es rápidamente descubierto en el ordenador de la víctima, el atacante tiene una lista fiable de contactos para atacar y recuperar el control del sistema de la víctima. Es posible que a su vez el atacante procure encontrar víctimas con mayor valor para él.

INFORMACIÓN DE COMANDO Y CONTROL

El malware se conectará a las siguiente C2:

101880 bytes update.googmail.org 207.204.245.192
104140 bytes apple12.crabdance.com Desconocida

Se trata de dos dominios APT conocidos por haber sido empleados durante años para canalizar múltiples ataques contra comunicaciones de MSN y Yahoo! IM. El segundo dominio está actualmente no disponible. Este backdoor iniciará una conexión con el servidor, con su función “tshd_put_file” configurada para enviar los datos robados al directorio /descargas/ del propio servidor.

A través de DNS pasivos se han determinado otros dominios que apuntan hacia estas IPs o están relacionados con estas campañas:

zbing.crabdance.com www.googmail.org bella.googmail.org polat.googmail.org video.googmail.org photo.googmail.org music.googmail.org news.googmail.org kisi.ddns.info mymail.serveuser.com rambler.serveuser.com nicmail.dns04.com webmailactivate.ddns.us www.update.serveusers.com

RECOMENDACIONES DE SEGURIDAD

A continuación listamos una serie de formas de protegerse contra estos ataques:

Uso de una cuenta @gmail.com: Las cuentas de correo de Google poseen ciertos mecanismos de seguridad contra ataques de seguimiento que otros proveedores no poseen, como la verificación en dos pasos o avisos sobre ataques patrocinados por estados.

Actualización a la última versión de Microsoft Office: La vulnerabilidad ya fué corregida por Microsoft allá por 2009, por lo que una versión de Office moderna no será vulnerable.

Instalación de una Suite de Seguridad: Las suite antivirus ofrecen, además de antivirus, protección antimalware, firewall y antispam. Esto hará mucho más costoso que cualquier malware tenga éxito en su objetivo.

Uso de Google Chrome para navegar: Chrome posee más mecanismos de seguridad contra malware que el resto de navegadores, por ello se recomienda su uso para navegar.

Ante la duda, mejor preguntar que abrir: Si dudamos de la procedencia de un email es mejor preguntar antes al destinatario que abrir el documento directamente.

Con estos ataques vemos como crece la capacidad de recibir ataques sobre Mac OS vía APT. Generalmente los usuarios de Mac operan con una falsa sensación de seguridad que provienen de aquellos años en los que se usaba aquello de “los Mac no reciben virus”. Como ya hemos demostrado previamente con epidemias como la de “Flashback, los sistemas Mac no son inmunes a los ataques de malware. Como estos ataques no hacen sino aumentar, recomendamos a cualquier usuario de Mac prudencia a la hora de navegar con su sistema.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR