Seguridad

Una nueva familia de malware para MacOs pasa desapercibida al disfrazarse de un ejecutable de Windows

El laboratorio de Trend Micro ha compartido un análisis en la que detectaron una nueva variedad de malware para MacOS. La peculiaridad de la familia analizada reside en que se oculta disfrazándose de un archivo ejecutable de Windows .EXE.

La ejecución es posible debido a dos cosas:

  1. La comprobación de firma de código de MacOs solo se aplica a aplicaciones nativas.
  2. La aplicación ha sido creada con el framework mono e integra la posibilidad de la ejecución de este tipo de ficheros.

Lo curioso, que pese a ser un ejecutable de Windows, falla su ejecución en estas plataformas.

Examinando el comportamiento del malware podemos observar cómo, en primer lugar, recopila todas las aplicaciones instaladas y la siguiente información:

Nombre del modelo
Identificador de modelo
Velocidad del procesador
Detalles del procesador
Número de Procesadores
Numero de nucleos
Memoria
BootROMVersion
SMCVersion
Número de serie
UUID

Una vez recopilada y enviada la información a un servidor externo, el malware descarga y ejecuta algunas aplicaciones para MacOs ocultando la instalación de la misma como si se tratase de la aplicación de Adobe Flash

El código analizado ha sido encontrado en una aplicación que simulaba ser un popular firewall llamado Little Snitch, descargada a través de torrent.

IOCs:

setup.dmg

c87d858c476f8fa9ac5b5f68c48dff8efe3cee4d24ab11aebeec7066b55cbc53 TrojanSpy.MacOS.Winplyer.A
Installer.exe

932d6adbc6a2d8aa5ead5f7206511789276e24c37100283926bd2ce61e840045 TrojanSpy.Win32.Winplyer.A
OSX64_MACSEARCH.MSGL517

58cba382d3e923e450321704eb9b09f4a6be008189a30c37eca8ed42f2fa77af Adware.MacOS.MacSearch.A
chs2

3cbb3e61bf74726ec4c0d2b972dd063ff126b86d930f90f48f1308736cf4db3e Adware.MacOS.GENIEO.AB
Instalador (2)

e13c9ab5060061ad2e693f34279c1b1390e6977a404041178025373a7c7ed08a Adware.MacOS.GENIEO.AB
búsqueda de macs

b31bf0da3ad7cbd92ec3e7cfe6501bea2508c3915827a70b27e9b47ffa89c52e Adware.MacOS.MacSearch.B

Servidor C&C:
hxxp: //54.164.144.252: 10000 / loadPE / getOffers.php

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.