jueves, 11 de septiembre de 2014

OSX.XSLCmd: Nuevo backdoor de espionaje para OS X

Post sacado de Seguridad Apple

Figura 1: Nuevo Backdoor en Apple

La empresa FireEye ha reportado el descubrimiento de una nueva muestra de malware que viene portado de Windows para ser utilizado funcionalmente en sistema OS X dentro de ataques dirigidos en esquemas APT para el ciber-espionaje. El spyware es una migración de XSLCmd, un malware que ya había sido descubierto en el pasado en múltiples ataques desde el año 2009. El fichero fue subido inicialmente el 10 de Agosto de este año a Virus Total con 0 detecciones y es un archivo Mach-O ejecutable que permite ejecución en arquitecturas en las que funciona Mac OS X, es decir, de tipo PowerPC, x86 y x86-64bits.

Una vez que consigue ejecución - vía cualquier vector de entrada que dependerá de cada esquema de ataque- se instala en la siguiente ruta: HOME/Library/LaunchAgents/clipboardd con el objetivo de conseguir la persistencia tras el reinicio, ya que queda registrado como un LauchAgent.

Figura 2: Conexión del Backdoor al panel de control
El nuevo porta OS X muestra secciones de código mezcladas, lo que según FireEye podría significar la manipulación de una persona del código de un tercero para adaptarlo a nuevos usos. Es decir, podría ser un nuevo grupo reutilizando trabajo de otros.




No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...