El laboratorio de Trend Micro ha compartido un análisis en la que detectaron una nueva variedad de malware para MacOS. La peculiaridad de la familia analizada reside en que se oculta disfrazándose de un archivo ejecutable de Windows .EXE.
La ejecución es posible debido a dos cosas:
- La comprobación de firma de código de MacOs solo se aplica a aplicaciones nativas.
- La aplicación ha sido creada con el framework mono e integra la posibilidad de la ejecución de este tipo de ficheros.
Lo curioso, que pese a ser un ejecutable de Windows, falla su ejecución en estas plataformas.
Examinando el comportamiento del malware podemos observar cómo, en primer lugar, recopila todas las aplicaciones instaladas y la siguiente información:
Nombre del modelo
Identificador de modelo
Velocidad del procesador
Detalles del procesador
Número de Procesadores
Numero de nucleos
Memoria
BootROMVersion
SMCVersion
Número de serie
UUID
Una vez recopilada y enviada la información a un servidor externo, el malware descarga y ejecuta algunas aplicaciones para MacOs ocultando la instalación de la misma como si se tratase de la aplicación de Adobe Flash
El código analizado ha sido encontrado en una aplicación que simulaba ser un popular firewall llamado Little Snitch, descargada a través de torrent.
IOCs:
setup.dmg
c87d858c476f8fa9ac5b5f68c48dff8efe3cee4d24ab11aebeec7066b55cbc53 TrojanSpy.MacOS.Winplyer.A
Installer.exe
932d6adbc6a2d8aa5ead5f7206511789276e24c37100283926bd2ce61e840045 TrojanSpy.Win32.Winplyer.A
OSX64_MACSEARCH.MSGL517
58cba382d3e923e450321704eb9b09f4a6be008189a30c37eca8ed42f2fa77af Adware.MacOS.MacSearch.A
chs2
3cbb3e61bf74726ec4c0d2b972dd063ff126b86d930f90f48f1308736cf4db3e Adware.MacOS.GENIEO.AB
Instalador (2)
e13c9ab5060061ad2e693f34279c1b1390e6977a404041178025373a7c7ed08a Adware.MacOS.GENIEO.AB
búsqueda de macs
b31bf0da3ad7cbd92ec3e7cfe6501bea2508c3915827a70b27e9b47ffa89c52e Adware.MacOS.MacSearch.B
Servidor C&C:
hxxp: //54.164.144.252: 10000 / loadPE / getOffers.php
Deja un comentario