La inmensa desinformación sobre el malware "OSX/Crisis" -------------------------------------------------------
Vuelve a ocurrir. La combinación de los medios generalistas (que
no quieren que la realidad arruine una buena historia) y las casas
antivirus (que ven en Mac un nuevo nicho de mercado) convierten
cualquier dato sobre malware para Mac en un batiburrillo de confusión
y desinformación. ¿Qué pasa en realidad con el malware OSX/Crisis?
Vamos a intentar aclarar algo.
Las casas antivirus lo están llamado Crisis o Morcut indistintamente.
Veamos primero en qué consiste el malware, para poder situarnos.
El malware: distribución
Un aspecto que suele confundirse en el malware es la distribución (cómo
llega al sistema) y el fin (qué hace una vez ahí). La distribución de
Crisis se está haciendo desde un archivo .jar (un applet llamado
AdobeFlashPlayer.jar.). No conocemos puntos de descarga (webs que lo
alojen y distribuyan). Por ahora, parece que no utiliza vulnerabilidades
para instalarse, por lo que el usuario deberá lanzar el applet de forma
más o menos consciente cuando su navegador le pregunte. Como el applet
no valida la cadena de confianza de certificados, aparecerá una alerta.
Los datos de la firma se encuentran dentro de la carpeta META-INF del
.jar.
Los .jar son archivos ZIP en realidad, que contienen normalmente .class,
ejecutables de Java. El caso de Crisis es curioso porque ese .jar (zip,
en realidad) contiene: un fichero .class, un ejecutable de Windows, y
otro de Mac.
http://2.bp.blogspot.com/-0bitwqEF9vQ/U ... risis1.pngEl archivo .class, sirve simplemente para distinguir el sistema
operativo y lanzar uno u otro ejecutable. El código habla por sí mismo.
http://2.bp.blogspot.com/-MDVZ-ZKQQfw/U ... risis2.pngQuizás el hecho de que se distribuya en formato .jar (Java es
multiplataforma), y que contenga dos archivos, ha propiciado que algunas
noticias hablen de "malware para Mac y Windows", abriendo la puerta a la
idea de malware multiplataforma (un solo fichero que funcionaría en los
dos sistemas operativos) cuando la realidad es bien distinta. Se trata
de dos ejecutables nativos para cada plataforma, y un fichero en Java
que se encarga de elegir uno u otro en base al sistema sobre el que se
ejecute. Tan simple como eso. Podía haber elegido cualquier método para
conseguir esto, como por ejemplo lo que solían hacer en 2007 los
DNSChanger: según el user-agent del navegador, la página del atacante
intentaba descargar un EXE o un DMG.
El malware: difusión
La difusión parece muy escasa en estos momentos, según comprobamos en
VirusTotal (si queremos tomarlo como referencia). El .jar en sí,
apareció el día 24 de julio y ha sido enviado 9 veces.
http://1.bp.blogspot.com/-VNwHW7Bj2no/U ... risis3.pngEl ejecutable para Mac que está dentro (y una variante que quizás, por
tener la mitad del tamaño que la muestra conocida, se trate de otra
muestra diferente) ha sido enviadas otras tantas veces.
http://2.bp.blogspot.com/-umq7mhGHnwU/U ... risis4.pngEl malware para Windows, es muy detectado (26 de 39) pero su nombre es
un misterio. Cada casa lo ha clasificado como ha creído conveniente.
http://3.bp.blogspot.com/-xF9M7bVaqbM/U ... risis5.pngEl archivo .jar, como viene siendo habitual, es mucho menos detectado.
Solo 5 motores por firmas.
El éxito de un malware está sobre todo en su método de difusión: cuando
más automatizado mejor. Un malware que se distribuya a través de una
ejecución transparente en el sistema (sin intervención del usuario)
gracias a una vulnerabilidad, será muy difundido. Cuanto menos conocida
la vulnerabilidad, más éxito para el malware. Por el contrario, si el
malware requiere que el usuario lo ejecute "con su propio ratón",
dependerá por completo de la ingeniería social empleada. Cuanto más
ocurrente o atractiva, más usuarios picarán. En el caso de Crisis,
parece que no aprovecha ninguna vulnerabilidad. Al tratarse de un .jar
firmado, Java lanzará una alerta cuando se ejecuta, cosa que dificultará
aún más que los usuarios lo lancen.
El malware: ¿qué hace?
La tercera cuestión que hay que plantearse es qué hace este troyano.
Como hemos comentado, tras una distribución "original", se ejecutará en
el sistema o el binario para Windows o el de Mac, con lo que en realidad
tenemos dos.
* El ejecutable para Mac es un espía capaz de registrar las teclas del
Mac, activar el micrófono, la cámara, robar el portapapeles, etc. Un
spyware "tradicional" que permite a un tercero controlar el sistema y
robar información. Al parecer puede estar basado en una herramienta
comercial. Ni siquiera intenta elevar privilegios: si el usuario lo
ejecuta con privilegios, podrá esconderse mejor y controlar más, y si
no, se conformará con lo que pueda. Un dato importante es que este
malware se dio oportunamente a conocer cuando apareció la nueva versión
Mountain Lion de Mac. Este hecho es totalmente irrelevante, pero parece
que muchos titulares hablan de que se trata de un malware para esa
versión cuando no es cierto. Funcionará en cualquier Mac.
* No hemos analizado el ejecutable para Windows en profundidad, pero
parece una puerta trasera igualmente (que curiosamente hace uso de
PuTTy). Tiene funcionalidad de rootkit y roba información del sistema.
Resumiendo
Se trata de un malware para Mac y otro para Windows, que se distribuyen
a través de un .jar, sin aprovechar fallos de seguridad en Apple o
Windows y cuyo fin es espiar a los infectados. Ni demuestra la mayor o
menor inseguridad de Apple (porque no aprovecha ninguna vulnerabilidad),
ni que el malware para Mac se esté consolidando (su difusión es pequeña
comparada con otras amenazas para esa plataforma), ni que Apple haya
dejado de ser inmune al malware (un sinsentido creído todavía por
muchos)...
Lo que en mi opinión demuestra, es que existe una tremenda falta de
entendimiento entre los usuarios y los medios de comunicación.