• Quienes somos
  • Nuestra Historia
  • Contactar
  • Políticas de Privacidad
  • Políticas IA
  • FUNDACIÓN
Informativos.Net
Medio online independiente desde 1999
Informativos.Net
  • Inicio
  • Life Style Magazine
  • Editorial
  • Secciones
    • Actualidad
    • Cultura
    • Entrevistas
    • Fake News
    • Gastronomia-Vinos
    • LifeStyle & Destinos
    • Medio Ambiente y Renovables
    • Seguridad, Autoprotección y emergencias
    • Salud
  • Archivo
    • Otros Paises
    • Panorama Mundial
    • Música
    • Noticias Curiosas
    • Cine
    • Empresas
    • Motor
    • Opinión del Lector
    • Chile
    • Catalunya
    • Publi-Reportajes
    • Tecnología
    • Vela
  • Políticas IA
  • Autores
    • Gema Castellano
    • Jose Escribano
    • Abel Marín
    • Christian Correa
    • Gustavo Egusquiza
    • Jesús Belenguer
    • Jose Anastasio Urra Urbieta
    • Pablo Arce
  • Sobre Gema Castellano
Tecnología

Hispasec arroja luz sobre la inmensa desinformación existente con el malware «OSX/Crisis»

por Jose Escribano 28 de julio de 2012
0FacebookTwitterPinterestLinkedinRedditWhatsappTelegramEmail
304

Las casas antivirus lo están llamado Crisis o Morcut indistintamente. Veamos primero en qué consiste el malware, para poder situarnos.

• El malware: distribución

Un aspecto que suele confundirse en el malware es la distribución (cómo llega al sistema) y el fin (qué hace una vez ahí). La distribución de Crisis se está haciendo desde un archivo .jar (un applet llamado AdobeFlashPlayer.jar.). No conocemos puntos de descarga (webs que lo alojen y distribuyan). Por ahora, parece que no utiliza vulnerabilidades para instalarse, por lo que el usuario deberá lanzar el applet de forma más o menos consciente cuando su navegador le pregunte. Como el applet no valida la cadena de confianza de certificados, aparecerá una alerta. Los datos de la firma se encuentran dentro de la carpeta META-INF del .jar.

Los .jar son archivos ZIP en realidad, que contienen normalmente .class, ejecutables de Java. El caso de Crisis es curioso porque ese .jar (zip, en realidad) contiene: un fichero .class, un ejecutable de Windows, y otro de Mac.

El archivo .class, sirve simplemente para distinguir el sistema operativo y lanzar uno u otro ejecutable. El código habla por sí mismo.

Quizás el hecho de que se distribuya en formato .jar (Java es multiplataforma), y que contenga dos archivos, ha propiciado que algunas noticias hablen de «malware para Mac y Windows», abriendo la puerta a la idea de malware multiplataforma (un solo fichero que funcionaría en los dos sistemas operativos) cuando la realidad es bien distinta. Se trata de dos ejecutables nativos para cada plataforma, y un fichero en Java que se encarga de elegir uno u otro en base al sistema sobre el que se ejecute. Tan simple como eso. Podía haber elegido cualquier método para conseguir esto, como por ejemplo lo que solían hacer en 2007 los DNSChanger: según el user-agent del navegador, la página del atacante intentaba descargar un EXE o un DMG.

• El malware: difusión

La difusión parece muy escasa en estos momentos, según comprobamos en VirusTotal (si queremos tomarlo como referencia). El .jar en sí, apareció el día 24 de julio y ha sido enviado 9 veces.

El ejecutable para Mac que está dentro (y una variante que quizás, por tener la mitad del tamaño que la muestra conocida, se trate de otra muestra diferente) ha sido enviadas otras tantas veces.

El malware para Windows, es muy detectado (26 de 39) pero su nombre es un misterio. Cada casa lo ha clasificado como ha creído conveniente.

El archivo .jar, como viene siendo habitual, es mucho menos detectado. Sólo 5 motores por firmas.

El éxito de un malware está sobre todo en su método de difusión: cuando más automatizado mejor. Un malware que se distribuya a través de una ejecución transparente en el sistema (sin intervención del usuario) gracias a una vulnerabilidad, será muy difundido. Cuanto menos conocida la vulnerabilidad, más éxito para el malware. Por el contrario, si el malware requiere que el usuario lo ejecute «con su propio ratón», dependerá por completo de la ingeniería social empleada. Cuanto más ocurrente o atractiva, más usuarios picarán. En el caso de Crisis, parece que no aprovecha ninguna vulnerabilidad. Al tratarse de un .jar firmado, Java lanzará una alerta cuando se ejecuta, cosa que dificultará aún más que los usuarios lo lancen.

• El malware: ¿qué hace?

La tercera cuestión que hay que plantearse es qué hace este troyano. Como hemos comentado, tras una distribución «original», se ejecutará en el sistema o el binario para Windows o el de Mac, con lo que en realidad tenemos dos.

* El ejecutable para Mac es un espía capaz de registrar las teclas del Mac, activar el micrófono, la cámara, robar el portapapeles, etc. Un spyware «tradicional» que permite a un tercero controlar el sistema y robar información. Al parecer puede estar basado en una herramienta comercial. Ni siquiera intenta elevar privilegios: si el usuario lo ejecuta con privilegios, podrá esconderse mejor y controlar más, y si no, se conformará con lo que pueda. Un dato importante es que este malware se dio oportunamente a conocer cuando apareció la nueva versión Mountain Lion de Mac. Este hecho es totalmente irrelevante, pero parece que muchos titulares hablan de que se trata de un malware para esa versión cuando no es cierto. Funcionará en cualquier Mac.

* No hemos analizado el ejecutable para Windows en profundidad, pero parece una puerta trasera igualmente (que curiosamente hace uso de PuTTy). Tiene funcionalidad de rootkit y roba información del sistema.

• Resumiendo

Se trata de un malware para Mac y otro para Windows, que se distribuyen a través de un .jar, sin aprovechar fallos de seguridad en Apple o Windows y cuyo fin es espiar a los infectados. Ni demuestra la mayor o menor inseguridad de Apple (porque no aprovecha ninguna vulnerabilidad), ni que el malware para Mac se esté consolidando (su difusión es pequeña comparada con otras amenazas para esa plataforma), ni que Apple haya dejado de ser inmune al malware (un sinsentido creído todavía por muchos)…

Lo que en mi opinión demuestra, es que existe una tremenda falta de entendimiento entre los usuarios y los medios de comunicación.

Sergio de los Santos
Twitter: @ssantosv

Autor

  • JAE
    Jose Escribano

    Responsable de Contenidos en Informativos.Net

    Ver todas las entradas
anterior
La reserva hidráulica española se encuentra al 57% de su capacidad total
siguiente
VACACIONES EN EL INFIERNO: estreno en cines el 26 de octubre

También te puede interesar

DragonForce, el cártel de ransomware que está rediseñando...

8 de mayo de 2025

La decadencia digital: cuando internet pierde la memoria

18 de febrero de 2025

Microsoft lanza Copilot en WhatsApp para asistencia con...

2 de octubre de 2024

Los 15 trabajos más expuestos a la automatización...

24 de marzo de 2024

LAS PANTALLAS DE LOS COCHES VAN A DESAPARECER

21 de enero de 2023

Entrevista a Esther Paniagua: «Error 404» es una...

22 de octubre de 2021

Visión artificial para contar aglomeraciones de personas

27 de febrero de 2018

YONDER: la app de karaoke para que muestres...

25 de marzo de 2017

Abierto el plazo de solicitudes participar en el...

29 de agosto de 2016

COLABORA CON NUESTRA FUNDACIÓN

https://t.me/informativosnet

Nos cuidan…


  • Facebook
  • Twitter
  • Instagram
  • Linkedin
  • Youtube
  • Email
  • Spotify
  • Whatsapp
  • Telegram
  • Rss

© 1999-2025 • Fundación Informativos.Net


Ir arriba
Informativos.Net
  • Inicio
  • Life Style Magazine
  • Editorial
  • Secciones
    • Actualidad
    • Cultura
    • Entrevistas
    • Fake News
    • Gastronomia-Vinos
    • LifeStyle & Destinos
    • Medio Ambiente y Renovables
    • Seguridad, Autoprotección y emergencias
    • Salud
  • Archivo
    • Otros Paises
    • Panorama Mundial
    • Música
    • Noticias Curiosas
    • Cine
    • Empresas
    • Motor
    • Opinión del Lector
    • Chile
    • Catalunya
    • Publi-Reportajes
    • Tecnología
    • Vela
  • Políticas IA
  • Autores
    • Gema Castellano
    • Jose Escribano
    • Abel Marín
    • Christian Correa
    • Gustavo Egusquiza
    • Jesús Belenguer
    • Jose Anastasio Urra Urbieta
    • Pablo Arce
  • Sobre Gema Castellano