Una nueva familia de malware para MacOs pasa desapercibida al disfrazarse de un ejecutable de Windowsmsc hotline sat Tuesday, February 19, 2019 El laboratorio de Trend Micro ha compartido un análisis en la que detectaron una nueva variedad de malware para MacOS. La peculiaridad de la familia analizada reside en que se oculta disfrazándose de un archivo ejecutable de Windows .EXE. https://i0.wp.com/unaaldia.hispasec.com/wp-content/uploads/2019/02/win-app-run-mac-platform_3.jpg?w=300&ssl=1 La ejecución es posible debido a dos cosas: La comprobación de firma de código de MacOs solo se aplica a aplicaciones nativas. La aplicación ha sido creada con el framework mono e integra la posibilidad de la ejecución de este tipo de ficheros. Lo curioso, que pese a ser un ejecutable de Windows, falla su ejecución en estas plataformas. Examinando el comportamiento del malware podemos observar cómo, en primer lugar, recopila todas las aplicaciones instaladas y la siguiente información: Nombre del modelo Identificador de modelo Velocidad del procesador Detalles del procesador Número de Procesadores Numero de nucleos Memoria BootROMVersion SMCVersion Número de serie UUID Una vez recopilada y enviada la información a un servidor externo, el malware descarga y ejecuta algunas aplicaciones para MacOs ocultando la instalación de la misma como si se tratase de la aplicación de Adobe Flash El código analizado ha sido encontrado en una aplicación que simulaba ser un popular firewall llamado Little Snitch, descargada a través de torrent. IOCs: setup.dmg c87d858c476f8fa9ac5b5f68c48dff8efe3cee4d24ab11aebeec7066b55cbc53 TrojanSpy.MacOS.Winplyer.A Installer.exe Informe de virustotal al respecto: https://www.virustotal.com/#/file/c87d858c476f8fa9ac5b5f68c48dff8efe3cee4d24ab11aebeec7066b55cbc53/detection Ver información original al respecto en Fuente: https://unaaldia.hispasec.com/2019/02/una-nueva-familia-de-malware-para-macos-pasa-desapercibida-al-disfrazarse-de-un-ejecutable-de-windows.html |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |