Detectan un nuevo malware para Mac (que aprovecha la vulnerabilidad de Gatekeeper) cuando los creadores subieron muestras a VirusTotal

Hace unos días ya contamos que había aparecido una vulnerabilidad que permitía realizar un bypass de la comprobación que realiza Gatekeeper para ver si un código está verificado o no, permitiendo así su ejecución. Pues como esta vulnerabilidad no ha sido aún solucionada por Apple, era cuestión de tiempo que apareciera un malware que explotara dicho bypass. Lo curioso es que los mismos creadores se han delatado al subir muestras a VirusTotal para comprobar si este detectaba algo anómalo.
El 6 de junio, la empresa Intego detectó que se habían subido a VirusTotal varios ficheros tipo imagen (.dmg) con formato ISO 9660 y Apple Disk Image, las cuales contenían evidencias de un intento de explotar la vulnerabilidad de Gatekeeper en este formato de imágenes de disco. Esta maniobra de utilizar imágenes posiblemente fuera un intento de evitar la detección de este código malicioso por parte de programa antivirus. El nombre con el que se ha bautizado a este nuevo malware es OSX/Linker.

Figura 1. Información ofrecida por VirusTotal sobre la subida de las muestras. Fuente.

Analizando las muestras subidas a VirusTotal, los investigadores han detectado que las imágenes fueron creadas pocas horas antes de dicha subida y que además estaban vinculadas con un servidor NFS conectado a Internet. Todas las muestras se subieron de forma anónima, la primera de ellas por alguien que aparentemente estaba ubicado en Israel o al menos, la IP correspondía a dicho país (aunque es muy posible que estuviera enmascarada). Las otras tres aparentemente fueron se subieron desde Estados Unidos.
El servidor NFS detectado, su dirección IP pertenece a Softlayer, parte del Cloud de IBM. Parece ser que la aplicación estuvo ubicada durante un tiempo antes de ser eliminada. Dado que dicho servidor no estaba disponible, la aplicación tampoco lo estaba por lo tanto ¿cómo se supo que el software era malicioso?. Las pistas que llevaron a la conclusión que se trata de un malware fueron en primer lugar que las imágenes estaban camufladas como instaladores de Adobe Flash Player (una de las formas más comunes que se usan para engañar al usuario). En este vídeo se puede observar una PoC de este exploit:

Por otro lado, la cuarta imagen estaba firmada con un ID de desarrollador de Apple llamado “Mastyra Fenny” (2PVD64XRF3), el cual ya se ha utilizado antes para firmar otros archivos falsos que se hacían pasar por los antes comentados Adoble Flash Player y que están asociados a la familia de adware OSX/Surfbuyer. Intego ya ha informado a Apple para que revoque el certificado de este ID.
Mientras esperamos que se resuelva este problema de seguridad, no vendría mal comprobar si en nuestra red ha habido algún equipo que se haya conectado a la IP 108.168.175.167 utilizando los puertos NFS (TCP/UDP 111, 875 o TCP 2049) entre las fechas del 24 de mayo y el 18 de junio. Seguiremos informando de este primer intento de crear un malware utilizando la vulnerabilidad de Gatekeeper.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.