Malware VENTIR para OS X incluye backdoor y keylogger
Investigadores de Kaspersky Lab descubrieron un nuevo malware par Mac, llamado Ventir, que está formado por varios componentes maliciosos, entre ellos una puerta trasera y un rastreador de teclas de software libre.
Mikhail Kuzin, investigador de Kaspersky, reveló la semana pasada que el módulo keylogger hace uso del programa de código abierto LogKext para plataformas OS X. En una publicación de su blog, Kuzin relaciona la estructura modular de esta muestra de malware con otro troyano detectado por Kaspersky en julio de 2012 llamado Morcut.
De acuerdo al análisis, una vez que el troyano Ventir es ejecutado en la computadora de la víctima, verifica si tiene acceso al sistema como administrador con la intención de determinar dónde instalará los archivos maliciosos. Entre los archivos que son instalados se encuentra el módulo de puerta trasera y los archivos de bases de datos, entre otros.
Si el acceso como root está disponible, el malware carga el driver de registro en el kernel, utilizando la utilidad estándar OS X kextload. Después de eso, la muestra identificada como Trojan-Dropper.OSX.Ventir ejecuta el archivo reweb y se borra a sí mismo del sistema.
El componente de puerta trasera es capaz de actualizarse a sí mismo, reiniciar la puerta trasera, enviar datos de los usuarios al servidor del atacante, entre otras cosas. De acuerdo al análisis realizado por Kuzin se identificó que información sensible de los usuarios, como contraseñas de cuentas de correo, pueden ser registradas de manera instantánea.
“Esta amenaza es especialmente significativa en vista de las recientes filtraciones de nombres de usuarios y contraseñas de las bases de datos de Yandex, Mail.ru y Gmail. Es posible que variantes de la familia Ventir fueran utilizados para proveer información a las bases de datos publicadas por los cibercriminales.”
En entrevista con SCMagazine.com, Roman Unuchek, analista de malware senior en Kaspersky Lab, declaró que sólo se han detectado algunas infecciones por Ventir en China y que el servidor usado como Command and Control también se ubica en China. Unuchek añadió que la característica más problemática del malware es su estructura modular. “Tiene diferentes módulos que son peligrosos de manera individual. Pero todos juntos son una amenaza mayor.”
En la publicación del análisis de la muestra, Kuzin añadió que el descubrimiento de Ventir demuestra que ese tipo de malware se volverá más común conforme pase el tiempo, debido a que “el software de código abierto hace mucho más fácil para los cibercriminales la creación de nuevo malware.”
“Esto significa que podemos asumir con seguridad que el número de programas espía de este tipo crecerá en el futuro.”
Ver mas información al respecto en Fuente
http://www.seguridad.unam.mx/noticia/?noti=1978
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.