• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / La inmensa desinformación sobre el malware "OSX/Crisis"

La inmensa desinformación sobre el malware "OSX/Crisis"

27 julio, 2012 Por Hispasec 2 comentarios

Vuelve a ocurrir. La combinación de los medios generalistas (que no quieren que la realidad arruine una buena historia) y las casas antivirus (que ven en Mac un nuevo nicho de mercado) convierten cualquier dato sobre malware para Mac en un batiburrillo de confusión y desinformación. ¿Qué pasa en realidad con el malware OSX/Crisis? Vamos a intentar aclarar algo.
Las casas antivirus lo están llamado Crisis o Morcut indistintamente. Veamos primero en qué consiste el malware, para poder situarnos.

El malware: distribución
Un aspecto que suele confundirse en el malware es la distribución (cómo llega al sistema) y el fin (qué hace una vez ahí). La distribución de Crisis se está haciendo desde un archivo .jar (un applet llamado AdobeFlashPlayer.jar.). No conocemos puntos de descarga (webs que lo alojen y distribuyan). Por ahora, parece que no utiliza vulnerabilidades para instalarse, por lo que el usuario deberá lanzar el applet de forma más o menos consciente cuando su navegador le pregunte. Como el applet no valida la cadena de confianza de certificados, aparecerá una alerta. Los datos de la firma se encuentran dentro de la carpeta META-INF del .jar.
Los .jar son archivos ZIP en realidad, que contienen normalmente .class, ejecutables de Java. El caso de Crisis es curioso porque ese .jar (zip, en realidad) contiene: un fichero .class, un ejecutable de Windows, y otro de Mac.
El archivo .class, sirve simplemente para distinguir el sistema operativo y lanzar uno u otro ejecutable. El código habla por sí mismo.
Quizás el hecho de que se distribuya en formato .jar (Java es multiplataforma), y que contenga dos archivos, ha propiciado que algunas noticias hablen de «malware para Mac y Windows«, abriendo la puerta a la idea de malware multiplataforma (un solo fichero que funcionaría en los dos sistemas operativos) cuando la realidad es bien distinta. Se trata de dos ejecutables nativos para cada plataforma, y un fichero en Java que se encarga de elegir uno u otro en base al sistema sobre el que se ejecute. Tan simple como eso. Podía haber elegido cualquier método para conseguir esto, como por ejemplo lo que solían hacer en 2007 los DNSChanger: según el user-agent del navegador, la página del atacante intentaba descargar un EXE o un DMG.
El malware: difusión
La difusión parece muy escasa en estos momentos, según comprobamos en VirusTotal (si queremos tomarlo como referencia). El .jar en sí, apareció el día 24 de julio y ha sido enviado 9 veces.
El ejecutable para Mac que está dentro (y una variante que quizás, por tener la mitad del tamaño que la muestra conocida, se trate de otra muestra diferente) ha sido enviadas otras tantas veces.
El malware para Windows, es muy detectado (26 de 39) pero su nombre es un misterio. Cada casa lo ha clasificado como ha creído conveniente.
El archivo .jar, como viene siendo habitual, es mucho menos detectado. Solo 5 motores por firmas.
El éxito de un malware está sobre todo en su método de difusión: cuando más automatizado mejor. Un malware que se distribuya a través de una ejecución transparente en el sistema (sin intervención del usuario) gracias a una vulnerabilidad, será muy difundido. Cuanto menos conocida la vulnerabilidad, más éxito para el malware. Por el contrario, si el malware requiere que el usuario lo ejecute «con su propio ratón«, dependerá por completo de la ingeniería social empleada. Cuanto más ocurrente o atractiva, más usuarios picarán. En el caso de Crisis, parece que no aprovecha ninguna vulnerabilidad. Al tratarse de un .jar firmado, Java lanzará una alerta cuando se ejecuta, cosa que dificultará aún más que los usuarios lo lancen.
El malware: ¿qué hace?
La tercera cuestión que hay que plantearse es qué hace este troyano. Como hemos comentado, tras una distribución «original«, se ejecutará en el sistema o el binario para Windows o el de Mac, con lo que en realidad tenemos dos.
  • El ejecutable para Mac es un espía capaz de registrar las teclas del Mac, activar el micrófono, la cámara, robar el portapapeles, etc. Un spyware «tradicional» que permite a un tercero controlar el sistema y robar información. Al parecer puede estar basado en una herramienta comercial. Ni siquiera intenta elevar privilegios: si el usuario lo ejecuta con privilegios, podrá esconderse mejor y controlar más, y si no, se conformará con lo que pueda. Un dato importante es que este malware se dio oportunamente a conocer cuando apareció la nueva versión Mountain Lion de Mac. Este hecho es totalmente irrelevante, pero parece que muchos titulares hablan de que se trata de un malware para esa versión cuando no es cierto. Funcionará en cualquier Mac.
        
  • No hemos analizado el ejecutable para Windows en profundidad, pero parece una puerta trasera igualmente (que curiosamente hace uso de PuTTy). Tiene funcionalidad de rootkit y roba información del sistema.
Resumiendo
Se trata de un malware para Mac y otro para Windows, que se distribuyen a través de un .jar, sin aprovechar fallos de seguridad en Apple o Windows y cuyo fin es espiar a los infectados. Ni demuestra la mayor o menor inseguridad de Apple (porque no aprovecha ninguna vulnerabilidad), ni que el malware para Mac se esté consolidando (su difusión es pequeña comparada con otras amenazas para esa plataforma), ni que Apple haya dejado de ser inmune al malware (un sinsentido creído todavía por muchos)…
Lo que en mi opinión demuestra, es que existe una tremenda falta de entendimiento entre los usuarios y los medios de comunicación.
Más información:
Mac malware spies on infected users through video and audio capture
http://nakedsecurity.sophos.com/2012/07/26/mac-malware-spies-morcut-crisis/
Mac malware Crisis on Mountain Lion eve?
http://nakedsecurity.sophos.com/2012/07/25/mac-malware-crisis-on-mountain-lion-eve/
New Apple Mac Trojan Called OSX/Crisis Discovered
http://www.intego.com/mac-security-blog/new-apple-mac-trojan-called-osxcrisis-discovered-by-intego-virus-team/
More on OSX/Crisis —Advanced Spy Tool
http://www.intego.com/mac-security-blog/more-on-osxcrisis-advanced-spy-tool/

Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware Etiquetado como: OS X

Interacciones con los lectores

Comentarios

  1. Alvaro dice

    27 julio, 2012 a las 8:13 pm

    Concuerdo en que la gente está como loca para tirar abajo la idea de que mac es invulnerable pero hablas como si realmente lo fuera… También concuerdo en que hay demasiada desinformación (lo que únicamente causó que se omitiera información, no que se falseara). Pero lo que veo aquí son arañazos para decir al final del mensaje que Mac no tiene vulnerabilidades

    Responder
  2. Anónimo dice

    30 julio, 2012 a las 9:53 am

    No es una cuestión de titulares, es una cuestión de prevención. Aún hay muchos usuarios que consideran Mac y Linux seguros respecto del malware. Y en todos los sistemas, el punto mas vulnerable es el usuario que es el que hace clic en el OK, y es el que no lee los mensajes, y en caso de que los lea, muchos no lo entienden (concepto, idioma…), pero decirle a la gente ¡Espabila! es mas difícil que decir: «nuevo bichoware» para Mac, mete más miedo. Es cierto que las compañías se aprovechan, pero también es cierto que va saliendo malware para estos sistemas, y aunque sea con miedo, con un detalle técnico (por llamarle algo) incompleto e impreciso, hay que avisar/asustar/prevenir a usuarios que no distinguirían un virus de un politono.

    Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Técnica permite modificar ficheros PDF con firma digital
  • Evasión de CloudTrail en AWS a través de API no documentada

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR