BELLA PUERTA TRASERA VARIANTE DE OSX.DOK

Una nueva variante de OSX.Dok fue descubierto por investigadores de Malwarebytes fue vista en la instalación de una nueva carga útil llamado puerta trasera Bella

Una vez que el software malicioso DOK infecta un sistema MacOS, gana privilegios administrativos e instala un nuevo certificado raíz. El certificado raíz permite que el código malicioso para interceptar todas las comunicaciones de la víctima, incluyendo el tráfico cifrado SSL.

Hoy en día el investigador de malware Malwarebytes Adam Thomas encontró una variante del OSX.Dok que funciona de una manera diferente respecto el primero y se instala una carga diferente, conocido como Bella.

“Adam Thomas, un investigador Malwarebytes, encontró una variante de OSX.Dok que se comporta en conjunto de manera diferente y se instala una carga útil completamente diferente.” segun el análisis publicado por Malwarebytes.

El nuevo malware Bella se entrega con la misma técnica del malware DOK, aprovecha una aplicación comprimido identificado Dokument.app que se hace pasar por un documento.

El código malicioso está firmado con el mismo certificado digital como OSX.Dok y fue subido primero en VirusTotal.

Apple ahora revoca el certificado con el fin de neutralizar la amenaza.

Bella se copia en /Users/Shared/AppStore.app , entonces crea una ventana en la parte superior de todas las demás ventanas, mostrando un mensaje afirmando que un problema de seguridad se ha detectado en el sistema operativo y hay una actualización disponible, t solicita a las víctimas entrar en su contraseña.

Bella muestra el falso “OS X actualizaciones disponibles”, que cubre toda la pantalla, y a continuación, después de un minuto, simplemente se cierra y se borra a sí mismo.

Bella es una puerta trasera de código abierto que fue desarrollado por un codificador en línea con el usuario en GitHub “Noé”.

“Noé se unió a GitHub nuevo en 2015, pero no fue activa allí hasta agosto de 2016, cuando comenzó la creación de scripts de Python para atacar varios MacOS datos, tales como el robo de fichas de autorización de iCloud o contraseña y tarjeta de crédito de información de Chrome.”, Continúa el análisis .

“En febrero de este año, publicó el código para Bella, una secuencia de comandos de Python con algunas capacidades aterradoras, entre ellas:

  • Exfiltración de iMessage y transcripciones de conversaciones SMS
  • Ubicación de los dispositivos a través de Buscar mi iPhone y encontrar a mis amigos
  • Phishing de contraseñas
  • Exfiltración del llavero
  • Captura de datos del micrófono y cámara web
  • Creación y exfiltración de capturas de pantalla
  • Shell remoto y compartir pantalla”

La carga útil Bella incluye la capacidad para escalar a los privilegios de root mediante la explotación de fallas en el sistema operativo, esta característica sólo funciona en MacOS 10.12.1 y anteriores, o phishing para obtener una credencial de administrador.

Bella es adaptable con un constructor de script, por debajo de un ejemplo relacionado con una muestra Bella que está controlado por un servidor de C & C con las siguientes características:

host = '185.68.93.74' #command y IP Control (oyente se ejecutará en)

port = 4545 #what puerto Bella operará durante

Esta dirección de arriba es propiedad de una empresa de alojamiento se encuentra en Moscú, Rusia.

El malware también se ha establecido para instalar la secuencia de comandos, base de datos, y poner en marcha los archivos del agente en los siguientes lugares:

~ /Library/Contenedores/.bella/Bella

~ /Library/Contenedores/.bella/bella.db

~ /Library/LaunchAgents/com.apple.iTunes.plist

Los expertos especulan que la puerta trasera Bella será utilizada por otros actores de amenaza en el futuro debido a una estructura modular.

“Por supuesto, ya que el certificado de firma de código en el gotero Dokument.app de este malware ha sido revocado, nadie puede ser recién infectadas por esta variante particular de este malware en este punto. Sin embargo, desde que Bella es de código abierto y sorprendentemente potente para el script Python, es muy probable que será dado de baja por otros instaladores maliciosos en el futuro.”, Concluyó Malwarebytes.

Fecha actualización el 2017-5-3. Fecha publicación el . Categoría: Mac. Autor: Mapa del sitio Fuente: fossbytes
Bella puerta trasera