Investigadores de Symantec han hallado un troyando que afecta a equipos con sistema operativo Mac y Linux, y no sólo los equipos con Windows. Lo cual lo convierte en un malware multiplataforma.
El troyano es conocido como
El troyano es conocido como
- Trojan.JnanabotOSX
- Koobface.A
- trojan.osx.boonana.a
El malware se ha difundido a través de Facebook con el mensaje:
"As you are on my friends list I thought I would let you know I have decided to end my life."
["Como estás en mi lista de amigos pensé en hacerte saber que he decidido terminar con mi vida "]
Los enlaces que contenía apuntaban a un archivo de JAVA, o un JAR, que puede ejecutarse en diversos sistemas operativos, y ya estando infectado el equipo a través del código malicioso, la cuenta de Facebook también es portadora del malware.
Este código malicioso está escrito en Java, y por ello puede ser multiplataforma. Al descargarse e instalarse, almacena todo el código que requiere en un directorio oculto en la carpeta del usuario, y para establecer comunicación con la botnet, utiliza métodos de cifrado bastante fuertes.
Los investigadores de Symantec también dieron con que el malware cuenta con vulnerabilidades, lo cual puede ser aprovechado por otros atacantes, fuera de la botnet, para insertar archivos en las máquinas que han sido infectadas, por lo cual al estar infectada la máquina, no sólo se suma a la botnet sino que se hace vulnerable a otro tipo de ataques, pues la vulnerabilidad es de tipo "traversal" [como directory traversal], dando la posibilidad de acceder a los archivos de la máquina con la posibilidad de ejecutar código arbitrariamente, escribir en los directorios y eliminar archivos. También descubrieron que el malware no sigue funcionando en sistemas Linux después de reiniciar.
El malware por ahora sólo ha llegado a miles de infecciones y no a cientos de miles. Pero ha de ser considerado pues de aumentar la cantidad de infecciones, la botnet crecerá exponencialmente, y no será fácil controlarla ya que se le puede indicar al bot que haga ataques DoS y hasta publicar en las cuentas de Facebook de los usuarios infectados, y estas instrucciones las recibe a través de IRC [Internet Relay Chat].
A pesar de que principalmente se ha esparcido por Facebook, se ha detectado que se la logrado dispersar por diversas redes sociales, como son Twitter y Myspace.
Jee Morparia, empleado de Symantec ha clasificado el funcionamiento del malware en los siguientes componentes:
"As you are on my friends list I thought I would let you know I have decided to end my life."
["Como estás en mi lista de amigos pensé en hacerte saber que he decidido terminar con mi vida "]
Los enlaces que contenía apuntaban a un archivo de JAVA, o un JAR, que puede ejecutarse en diversos sistemas operativos, y ya estando infectado el equipo a través del código malicioso, la cuenta de Facebook también es portadora del malware.
Este código malicioso está escrito en Java, y por ello puede ser multiplataforma. Al descargarse e instalarse, almacena todo el código que requiere en un directorio oculto en la carpeta del usuario, y para establecer comunicación con la botnet, utiliza métodos de cifrado bastante fuertes.
Los investigadores de Symantec también dieron con que el malware cuenta con vulnerabilidades, lo cual puede ser aprovechado por otros atacantes, fuera de la botnet, para insertar archivos en las máquinas que han sido infectadas, por lo cual al estar infectada la máquina, no sólo se suma a la botnet sino que se hace vulnerable a otro tipo de ataques, pues la vulnerabilidad es de tipo "traversal" [como directory traversal], dando la posibilidad de acceder a los archivos de la máquina con la posibilidad de ejecutar código arbitrariamente, escribir en los directorios y eliminar archivos. También descubrieron que el malware no sigue funcionando en sistemas Linux después de reiniciar.
El malware por ahora sólo ha llegado a miles de infecciones y no a cientos de miles. Pero ha de ser considerado pues de aumentar la cantidad de infecciones, la botnet crecerá exponencialmente, y no será fácil controlarla ya que se le puede indicar al bot que haga ataques DoS y hasta publicar en las cuentas de Facebook de los usuarios infectados, y estas instrucciones las recibe a través de IRC [Internet Relay Chat].
A pesar de que principalmente se ha esparcido por Facebook, se ha detectado que se la logrado dispersar por diversas redes sociales, como son Twitter y Myspace.
Jee Morparia, empleado de Symantec ha clasificado el funcionamiento del malware en los siguientes componentes:
- Library - Las biblotecas necesitadas por el malware [recordemos que el malware sigue siendo un software] para ejecutarse en Mac OSX, Linux AMD 64, Linux x86 y Windows x86.
- Main - El archivo .jar que controla la ejecución.
- Instalación/Actualización - Mecanismo de instalación y actualización del malware.
- IRC - Permite las conexiones remotas IRC para recibir instrucciones.
- Key logging - Registro.
- Crypt - Mecanismo para descifrar la información que recibe.
- Facebook - Permite que el malware haga uso de la cuenta de Facebook de la víctima para enviar nuevos enlaces a través de publicaciones para la descarga del malware.
Referencias:
TheRegister
Intego
Symantec
Symantec [continuación]
No comments:
Post a Comment