Una nueva familia de malware para MacOs pasa desapercibida al disfrazarse de un ejecutable de Windows

Publicado el 19 febrero 2019 ¬ 10:27 amh.mscComentarios desactivados en Una nueva familia de malware para MacOs pasa desapercibida al disfrazarse de un ejecutable de Windows

El laboratorio de Trend Micro ha compartido un análisis en la que detectaron una nueva variedad de malware para MacOS. La peculiaridad de la familia analizada reside en que se oculta disfrazándose de un archivo ejecutable de Windows .EXE.

La ejecución es posible debido a dos cosas:

La comprobación de firma de código de MacOs solo se aplica a aplicaciones nativas.
La aplicación ha sido creada con el framework mono e integra la posibilidad de la ejecución de este tipo de ficheros.

Lo curioso, que pese a ser un ejecutable de Windows, falla su ejecución en estas plataformas.

Examinando el comportamiento del malware podemos observar cómo, en primer lugar, recopila todas las aplicaciones instaladas y la siguiente información:

Nombre del modelo
Identificador de modelo
Velocidad del procesador
Detalles del procesador
Número de Procesadores
Numero de nucleos
Memoria
BootROMVersion
SMCVersion
Número de serie
UUID

Una vez recopilada y enviada la información a un servidor externo, el malware descarga y ejecuta algunas aplicaciones para MacOs ocultando la instalación de la misma como si se tratase de la aplicación de Adobe Flash

El código analizado ha sido encontrado en una aplicación que simulaba ser un popular firewall llamado Little Snitch, descargada a través de torrent.

IOCs:

setup.dmg

c87d858c476f8fa9ac5b5f68c48dff8efe3cee4d24ab11aebeec7066b55cbc53 TrojanSpy.MacOS.Winplyer.A
Installer.exe

total al respecto:

 

Ver información original al respecto en Fuente:>

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies