Todas las amenazas

Virus

Hackers

Spam

Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario
Bitácora

 
Archivo

<< 2014  
ene feb mar
abr may jun
jul ago  
     
Sobre los autores de la bitácora del analista antivirus
About Diary's Authors

La bitácora del analista antivirus es un weblog mantenido por los analistas antivirus de Kaspersky Lab, encabezado por Eugene Kaspersky. Lea más sobre los autores de esta bitácora

 

  Home / Bitácora

Bitácora del analista antivirus

Se intensifican los ciberataques contra los usuarios Uyghur de Mac OS X


  Costin       21 febrero 2013 | 15:42  MSK

Comentar  

En colaboración con los analistas de AlienVaultLabs, hemos analizado una serie de ataques dirigidos contra los usuarios de Uyghur Mac OS X que se realizaron los meses pasados. Puedes leer su análisis aquí . También puedes seguir leyendo para conocer nuestra investigación.

Ya habíamos escrito sobre ataques dirigidos contra los activistas tibetanos en los que se usaba malware para Mac OS X. A finales de junio también hicimos un informe sobre los ataques de malware para Mac OS X dirigidos contra los seguidores de Uyghur. Estos ataques utilizaban la ingeniería social para infectar a los usuarios con “Backdoor.OSX.MaControl.b”.

Los meses pasados estuvimos vigilando una serie de ataques dirigidos contra quienes apoyan a los Uyghur, entre los que destacan ataques al Congreso Mundial Uyghur (WUC por sus siglas en inglés).

Se utilizaron varios nombres de archivos en estos ataques, entre ellos:


Concerns over Uyghur People.doc

Hosh Hewer.doc

Jenwediki yighingha iltimas qilish Jediwili.doc

list.doc

Press Release on Commemorat the Day of Mourning.doc

The Universal Declaration of Human Rights and the Unrecognized Population Groups.doc

Uyghur Political Prisoner.doc

2013-02-04 - Deported Uyghurs.doc

Jenwediki yighingha iltimas qilish Jediwili(Behtiyar Omer).doc

Kadeer Logistics detail.doc

Aunque se observaron algunos de estos ataques en 2012, en enero y febrero de 2013 notamos un aumento notable en su cantidad, lo que indica que los cibercriminales responsables están muy activos.

Todos los ataques utilizan exploits para la vulnerabilidad CVE-2009-0563 (Microsoft Office). E este caso, se puede identificar con facilidad por el autor del documento subyacente, el famoso “capitán” del que ya hemos hablado .

Todos los documentos tienen un segundo documento “falso” que se muestra a la víctima cuando el exploit se ejecuta con éxito. Estos son algunos ejemplos:

Malware distribuido

Cuando tiene éxito, el exploit descarga una puerta trasera en forma de un ejecutable 101/104 KB Universal Mach-O. Parece que esta pequeña puerta trasera tiene muy poca funcionalidad original de este código malicioso. Instala una puerta trasera mínima y un ladrón de contactos personal. El autor compiló en un puerto OS X de “Tiny Shell”, una puerta trasera de Unix de código abierto que originalmente se lanzó en 2003, y que instalaron como un servicio “systm” en el sistema OS X de la víctima. El código incluye criptografías integradas AES y SHA1, además de preguntas y claves secretas incrustadas en el código. Se quita parte del código TSH original para contraer el producto y, en otra operación simple, los operadores decidieron obtener el código secreto “12345678” para su llave secreta AES. La puerta trasera también incluye funcionalidades integradas en el código para extraer un ejecutable arbitrario de los C2s.

Información de la ruta de construcción que se ve en la versión de 104KB de la puerta trasera

Se puede encontrar información sobre la plataforma en la que se compiló el ejecutable dentro del binario mayor, que dirige a Users/cbn/Documents/WorkSpace/design/server/build/server.build/Release/”. La parte “cbn” puede ser el nombre de usuario de la persona que creó la puerta trasera.

Además del código “tshd”, el atacante incluyó una funcionalidad para interactuar con las listas de contactos de la víctima. También llama la atención que el atacante decidió dejar una tarjeta de llamada “me” en el sistema de la víctima.

Desde cierto punto de vista, esto tiene sentido. Si la puerta trasera se descubre rápido en el sistema de la víctima, el atacante tiene una lista de contactos de confianza para engañar y recobrar el control del sistema. El atacante también podría estar tratando de identificar las conexiones de los objetivos más valiosos.

Información del Comando y Control

El malware se conecta a los siguientes C2s:





Versión de puerta trasera C2 IP
101880 bytes update.googmail.org 207.204.245.192
104140 bytes apple12.crabdance.com N/A


Estos son dos dominios APT muy conocidos que se usaron por años con un paquete de herramientas para Windows que engañaba a los usuarios de la mensajería instantánea de MSN y Yahoo!

El segundo dominio (apple12.crabdance.com) no está disponible, pero respondía a 207.204.245.192 y 207.204.231.196. Ambos servidores están alojados en “Black Oak Computers Inc.”, que es un conocido y resistente proveedor de alojamiento que suele ignorar casi todas las solicitudes de cierre.

Esta puerta trasera de Mac OS X inicia una conexión con el servidor, y su función “tshd_put_file” se configuró para descargar datos robados en el directorio “/downloads/” que se encuentra allí.

Mediante validaciones de identidad DNS pasivas, observamos otros dominios que dirigen a los mismos IPs o están asociados con estas campañas:


zbing.crabdance.com
www.googmail.org
bella.googmail.org
polat.googmail.org
video.googmail.org
photo.googmail.org
music.googmail.org
news.googmail.org
kisi.ddns.info
mymail.serveuser.com
rambler.serveuser.com
nicmail.dns04.com
webmailactivate.ddns.us
www.update.serveusers.com

Recomendaciones para tu defensa

Para resumir nuestros descubrimientos, en enero y febrero de 2013 detectamos un aumento notable en los ataques dirigidos contra los usuarios de Mac OS X de Uyghur. Todos aprovechaban la vulnerabilidad CVE-2009-0563, que Microsoft parchó en junio de 2009.

Estas son algunas recomendaciones para que te protejas contra estos ataques:







Recomendación Razón
Emplea una cuenta de correo @gmail.com El servicio Google Mail (@gmail) incluye mecanismos de defensa adicionales contra los ataques dirigidos, que otros proveedores de correo gratuitos no tienen. Esto incluye métodos de autentificación de dos factores y alertas contra los ataques patrocinados por gobiernos.
Actualiza tu equipo con la última versión de Microsoft Office Microsoft ya publicó en junio de 2009 un parche para la vulnerabilidad que explotan estos ataques. Si office está actualizado, será inmune a estos ataques.
Instala un paquete integral de seguridad en Internet Un paquete integral de seguridad en Internet incluye un cortafuegos y protección contra el malware y el spam. Esto protege contra los ataques más comunes y hace que a los cibercriminales les cueste mucho más irrumpir en tu ordenador (ya sea PC o Mac OS X).
Utiliza Google Chrome para navegar en Internet El navegador Chrome de Google incluye una amplia gama de mejoras de seguridad que hace que, comparado con otros navegadores, sea más resistente a ataques de malware.
Ante la duda, pregunta a un amigo Si recibes correos electrónicos sospechosos, nunca está de más confirmar con el remitente si de verdad te envió ese documento.

Con estos ataques, seguimos viendo una expansión de las capacidades APT para atacar a los usuarios de Mac OS X. En general, los usuarios de Mac operan bajo una falsa impresión de seguridad que se formó con el tradicional mantra que dicta que "los ordenadores Mac no se infectan". Como se demostró con epidemias anteriores como Flashback , los usuarios de Mac no son inmunes al malware. Y en especial con el aumento de los ataques dirigidos contra usuarios de Mac, podemos esperar que aparezca más malware y exploits diseñados para infectar Mac OS X.

*Gracias a mis colegas Kurt Baumgartner y Nicolas Brulez por el apoyo con el análisis.

 

Copyright © 1996 - 2014
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com