{"id":1438,"date":"2011-09-28T20:53:27","date_gmt":"2011-09-29T01:53:27","guid":{"rendered":"http:\/\/puchunguis.com\/blog\/?p=1438"},"modified":"2011-09-28T20:59:29","modified_gmt":"2011-09-29T01:59:29","slug":"troyano-para-macos-x-osx-flashback-a","status":"publish","type":"post","link":"https:\/\/www.jorgealdana.pro\/blog\/seguridad\/troyano-para-macos-x-osx-flashback-a\/","title":{"rendered":"Troyano para MacOS X \u00abOSX.Flashback.A\u00bb"},"content":{"rendered":"

Este malware ha sido descubierto por el equipo de seguridad de Intego tras la sospecha de una persona que descarg\u00f3 la muestra desde un sitio web. El malware se distribuye como un archivo de instalaci\u00f3n, luego si el usuario hace clic sobre el link de descarga desde Apple Safari, la instalaci\u00f3n dar\u00e1 comienzo, ya que Safari toma como seguros los archivos .pkg y mpkg por default<\/strong>.<\/p>\n

\"\"<\/a><\/p>\n

Una vez instalado, el troyano carga una librer\u00eda din\u00e1mica .dylib que se instala en la ruta \u00ab~\/Library\/Preferences\/Preferences.dylib\u00bb, adem\u00e1s de un c\u00f3digo de auto-ejecuci\u00f3n que se encarga tambi\u00e9n de eliminar software de seguridad red, como firewalls o antivirus. Una vez se ejecuta el troyano, se conecta a un servidor remoto enviando informaci\u00f3n sobre la m\u00e1quina infectada, como la direcci\u00f3n Mac y un identificador \u00fanico (en MD5) para ser gestionado desde un panel de control, seg\u00fan el an\u00e1lisis realizado por Intego.<\/p>\n

Esta conexi\u00f3n utiliza cifrado basado en RC4 para enviar los mensajes de forma totalmente oculta en firewalls. Como clave del algoritmo RC4 utiliza un hash MD5 que calcula a partir del Identificador \u00fanioc UUID del equipo, lo que hace que cada clave de cifrado sea distinta, y al mismo tiempo f\u00e1cil de calcular para \u00e9l. <\/p>\n

Y por si fuera poco el UUID es transmitido al servidor en el campo USER-AGENT de la petici\u00f3n HTTP que hace, lo que le permite al servidor calcular la clave de descifrado RC4 haciendo el hash MD5 de este valor. Adem\u00e1s, el troyano tiene capacidades de dropper, es decir, de descargar nuevo software, pero en las pruebas que han realizado no han visto funcionando esta caracter\u00edstiica.<\/p>\n

\"\"<\/a><\/p>\n

El troyano es de tipo \u00abReverse\u00bb, esto es algo nuevo y adem\u00e1s trae medidas de protecci\u00f3n de entorno como la eliminacion de medidas de seguridad tales c\u00f3mo el firewall, esto indica que se est\u00e1 creciendo en complejidad en la evoluci\u00f3n de los troyanos para Mac OS X<\/strong>.<\/p>\n

Por supuesto, no se debe descargar ning\u00fan componente de instalaci\u00f3n que no vengan directamente desde la web del fabricante, y se recomienda hacer uso de una soluci\u00f3n antivirus que permita tener las firmas actualizadas de este tipo de malware en el mismo momento en que se haga p\u00fablico, como es este caso.<\/p>\n","protected":false},"excerpt":{"rendered":"

Este malware ha sido descubierto por el equipo de seguridad de Intego tras la sospecha de una persona que descarg\u00f3 la muestra desde un sitio web. El malware se distribuye como un archivo de instalaci\u00f3n, luego si el usuario hace clic sobre el link de descarga desde Apple Safari, la instalaci\u00f3n dar\u00e1 comienzo, ya que Safari toma como seguros los archivos .pkg y mpkg por default. Una vez instalado, el troyano carga una librer\u00eda din\u00e1mica .dylib que se instala en la ruta \u00ab~\/Library\/Preferences\/Preferences.dylib\u00bb, adem\u00e1s de un c\u00f3digo de auto-ejecuci\u00f3n que se encarga tambi\u00e9n de eliminar software de seguridad red, como <\/p>\n","protected":false},"author":1,"featured_media":1439,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[14],"tags":[78,2492,2490,2491,2493,2223,2494],"class_list":["post-1438","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguridad","tag-apple","tag-osx-flashback-a","tag-osxflashback","tag-osxosx-flashback","tag-troyano-para-mac","tag-virus-para-mac","tag-virus-para-mac-os","has_thumb"],"_links":{"self":[{"href":"https:\/\/www.jorgealdana.pro\/blog\/wp-json\/wp\/v2\/posts\/1438","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.jorgealdana.pro\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.jorgealdana.pro\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.jorgealdana.pro\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.jorgealdana.pro\/blog\/wp-json\/wp\/v2\/comments?post=1438"}],"version-history":[{"count":3,"href":"https:\/\/www.jorgealdana.pro\/blog\/wp-json\/wp\/v2\/posts\/1438\/revisions"}],"predecessor-version":[{"id":1441,"href":"https:\/\/www.jorgealdana.pro\/blog\/wp-json\/wp\/v2\/posts\/1438\/revisions\/1441"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.jorgealdana.pro\/blog\/wp-json\/wp\/v2\/media\/1439"}],"wp:attachment":[{"href":"https:\/\/www.jorgealdana.pro\/blog\/wp-json\/wp\/v2\/media?parent=1438"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.jorgealdana.pro\/blog\/wp-json\/wp\/v2\/categories?post=1438"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.jorgealdana.pro\/blog\/wp-json\/wp\/v2\/tags?post=1438"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}