miércoles, 3 de diciembre de 2014

AlienSpy: Una Rata (R.A.T.) en Java que infecta OS X


AlienSpy es una R.A.T. (Remote Administration Tool) que está basada en el popular Frutas y Unrecom/Adwind, que ha estado circulando por la red durante este años de 2014. Según parece este tipo de malware se utilizará en las mismas campañas en las que fue utilizado Unrecom / Adwind.
Este RAT es multiplataforma y se instala tanto en sistemas operativos OS X como Linux. Para saber como funciona es muy interesante ver el tráfico de una captura de red en formato pcap y la información que se puede obtener. En el análisis que desde Contagio se ha realizado podemos ver, tras un volcado de las strings que existen en memoria en el proceso de laRAT, diversos datos interesantes para un analista.


Por ejemplo, con el análisis de cadenas de una muestra se puede ver cuál es la dirección IP del panel de control a la que la RAT se conecta y el dominio en concreto. En este caso concreto analizado por ellos, el país es Estados Unidos, lo cual puede llamar la atención. Las direcciones IP encontradas son las siguientes:
  • 204.45.207.40 con hostname 212.clients.instantdedis.com.
  • 38.89.137.248.
La RAT está formada por los siguientes ficheros que son transfer.javapaymentadvice.jar,purchase order.java y purchaseorder.java, que aunque se denominen igual, hay que notar que no son el mismo fichero.



La información sobre las evidencias y la RAT que han sido publicadas están disponibles en los siguientes enlaces:
Todas las capturas de tráfico recogidas por los investigadores muestran que el tráfico deAlienSpy tiene campos idénticos, siguiendo un flujo GZIP, mientras que en OS X tienen distintos datos. Los archivos JAR que tienen el payload no tienen ningún malware empaquetado.



Para evitar caer en infecciones de RATs escritas en Java en sistemas OS X es recomendable tener actualizado el sistema operativo, tener un antimalware en tiempo real y, más que recomendable, tener fortificadas las opciones de Java.






Fuente: Seguridadapple.com

No hay comentarios:

Publicar un comentario