Sigue la “moda” de introducir malware en los sistemas usando como reclamo la necesidad del uso de codecs específicos para poder reproducir un vídeo. Estos codecs suelen ser ejecutables para Windows, pero últimamente (y no parece ser ya algo pasajero o experimental) también los sistemas Mac se ven afectados. Los resultados de los distintos motores antivirus según la versión del troyano, también sorprenden.

Descargables desde decenas de direcciones web alojadas a menudo en la Russian Business Network, se encuentran a día de hoy numerosas versiones del troyano Zlob o “simples” DNSChangers que modifican los servidores DNS para que apunten a sistemas bajo el dominio de los atacantes. Varias semanas después de que se detectara un primer ataque real y funcional dirigido específicamente contra usuarios Windows y Mac, continúa la presencia de servidores que alojan este tipo de troyanos.

El troyano en concreto, activo a día de hoy, se descarga desde la URL (ofuscada) http://???solution.com/download.php?id=WXYZ

Ese PHP determina si quien lo visita lo hace con el sistema Windows o Mac. Dependiendo de su conclusión, se descarga realmente:
http://???solution.com/playcodec1123.exe o http://???solution.com/playcodec.dmg

Los usuarios de Mac tendrían que introducir la contraseña de administrador para que la instalación del troyano se lleve a cabo. Sólo los más precavidos usando Windows (los que lo utilicen con usuario sin privilegios) tendrían que hacer lo mismo.

Los motores antivirus parecen haber reaccionado y, al menos con la muestra que hemos tratado, el espécimen es incluso más detectado en su versión para Mac.

El ejecutable para Windows, el día 20 era reconocido por 7 de 31 motores, lo que significa un 22.59% de detección. http://www.virustotal.com/es/resultado.html?31c88ab20f75b7aa9bc434856fed2548

El ejecutable para Mac, es reconocido por 11 de 32 motores, lo que significa un 34.38% de detección.
http://www.virustotal.com/es/resultado.html?5fd34c06e5b0a30d13722a9d72fce2b1

El ataque, teniendo en cuenta su duración, persistencia y “profesionalidad”, quizás les esté siendo rentable a las mafias
informáticas y por ello no está resultando flor de un día. Lleva tres semanas activo y adaptándose con nuevas versiones de malware para ambas plataformas.

Aunque dependerá mucho del tipo de muestra, no deja de ser llamativo que el espécimen concreto sea detectado por más motores en su versión Mac, e incluso que antivirus que no comercializan solución específica para los entornos Apple, lo reconozcan.

Más información:
Ataque con troyano para usuarios de Mac
http://www.hispasec.com/unaaldia/3296

Troyano para Mac
http://blog.hispasec.com/laboratorio/250

Autor:
Sergio de los Santos
ssantos@hispasec.com

Articulo original: –> http://www.hispasec.com/unaaldia/3316/

El malware en forma de supuesto codec parece "consolidadarse" contra

Ingresa un comentario:

This site uses Akismet to reduce spam. Learn how your comment data is processed.

A %d blogueros les gusta esto: