Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
06 de Octubre, 2014    General

iWorm se distribuyó en copias piratas de Adobe Photoshop CS y Adobe Illustrator CS

Más de 17.000 equipos OS X han sido los infectados con iWorm, la botnet controlada a través de paneles de control posteados en foros de Reddit que Apple ha tenido que desactivar en estos días en una operación coordinada con Reddit, con las actualizaciones de XProtect y con la industria antimalware. La manera en que los equipos se han visto infectados no ha sido nada nueva, el viejo truco de infectar copias piratas de programas populares con el backdoor y ponerlos en la red, en Torrents a disposición pública. Este técnica lo vimos ya en el mundo Mac con iService, con OSX/CoinThieft que infectó a los Angry Birds, o DevilRobber (a.k.a OSX/Miner.D), todos ellos distribuidos en copias piratas de programas legítimos.

En este caso la víctima elegida para engañar a los usuarios ha sido Adobe, con sus populares programas Adobe Photoshop CS y Adobe Illustratrator CS publicados en Torrent en The Pirate Bay.

Figura 1: Lista de copias piratas infectadas

Cuando la víctima se descargaba la copia pirata del software y lo ejecutaba, el instalador no viene firmado digitalmente por la compañía, lo que genera la primera alerta de seguridad en el sistema OS X.

Figura 2: Alerta al ejecutar el instalador de Adobe Photoshop CS pirata

Aunque parece ser un instalador legítimo, en el análisis realizado por The Safe Mac se puede ver cómo ese instalador pone el malware en la máquina del cliente.

Figura 3: El instalador de la copia pirata infectada

Como se puede apreciar, se crea un servicio corriendo como superusuario con el fichero /Library/LaunchDaemons/com.JavaW.plist en el que se indica que debe ejecutarse /Library/Application Support/JavaW.

Figura 4: Fichero plist que crea el servicio

El nombre puede hacer creer al usuario que se trata de un servicio de Java, pero realmente es la forma en la que el malware consigue la persistencia.

Figura 5: el servicio que troyaniza la máquina

El resto ya es conocido, una vez instalado realiza búsquedas de posts en Reddit utilizando un token concreto para localizar un post que le diga en qué direcciones IP se encuentran lo servidores a los que hay que conectarse.

Figura 6: Búsqueda del post con las direcciones IP con los paneles de control

En el post se encuentra la lista de direcciones IP a los que el backdoor debe realizar las peticiones de comandos a ejecutar en las máquinas OS X de las víctimas.

Figura 7: Posts con los paneles de control en Reddit

Ese token se calcula como un derivado de la fecha, que le permite al máster ir cambiando en nuevos posts las nuevas direcciones IP que se van a utilizar.

Figura 8: Generación del token de búsqueda

Además de todo, si el usuario tiene configurado el bloqueo de conexiones en el firewall, el servicio se ve obligado a pedir permiso al usuario para las conexiones, lo que debería alertar más sobre su riesgo.

Figura 9: Alerta de firewall por conexión de red del servicio

En definitiva, un malware distribuido al estilo de los populares malware de Windows utilizando malas prácticas de los usuarios de la plataforma. Ten cuidado con las fuentes de donde descargas programas, ten un antimalware en tiempo real y fortifica tu plataforma para evitar que sea fácil para cualquier bicho infectar tu OS X.
Palabras claves , , , , , , ,
publicado por alonsoclaudio a las 12:57 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Diciembre 2020 Ver mes siguiente
DOLUMAMIJUVISA
12345
6789101112
13141516171819
20212223242526
2728293031
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Vulnerabilidad en Youtube permitió borrar cualquier video
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
550 Comentarios: alex, marcus maximilliano, FRANK TODD, [...] ...
» Microsoft instalará puertas traseras en todos sus sistemas
2 Comentarios: Jessica Smith, Janet
» Samsung presenta el teléfono de tipo concha más potente del mercado
1 Comentario: Janet
» Actualización de múltiples productos Apple: iOS, OS X Server, Safari y Yosemite
1 Comentario: Janet
» Vulnerabilidades de cross-site scripting en IBM Domino Web Server
1 Comentario: Janet
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad