jueves, 30 de octubre de 2014

Ventir ¿realmente una amenaza para OSX?

Malware Ventir para OS X incluye backdoor y keylogger






que nuestros equipos con OSX son Muchísimos mas seguros que cualquier otro sistema, es algo mas que aceptado, pero eso no libra a estos de que, en muy contadas ocasiones, los medios y sobre todo las casas de antivirus, no intenten amargarnos con informaciones que realmente, no suelen ser tan"Catastroficas" como intentan decir el ultimo ejemplo lo tenemos con Mikhail Kuzin, un investigador de Kaspersky, reveló  que el módulo  de keylogger hace uso del programa de código abierto LogKext para plataformas OS X. 
En su blog, Kuzin relaciona la estructura modular de esta muestra de malware con otro troyano detectado por Kaspersky en julio de 2012 llamado Morcut.

 
Según dice, una vez que el troyano Ventir es ejecutado en el equipo de la víctima, este verifica si tiene acceso al sistema como administrador con la intención de determinar dónde instalará los archivos maliciosos. Entre los archivos que son instalados se encuentra el módulo de puerta trasera y los archivos de bases de datos, entre otros.
Si el acceso como root está disponible(no protejido con contraseña, como ya contamos en otro articulo), el malware carga el driver de registro en el kernel, utilizando la utilidad estándar OS X kextload. Después de eso, la muestra identificada como Trojan-Dropper.OSX.Ventir ejecuta el archivo reweb y se borra a sí mismo del sistema.
El componente de puerta trasera es capaz de actualizarse a sí mismo, reiniciar la puerta trasera, enviar datos de los usuarios al servidor del atacante, entre otras cosas. De acuerdo al análisis realizado por Kuzin se identificó que información sensible de los usuarios, como contraseñas de cuentas de correo, pueden ser registradas de manera instantánea.
"Esta amenaza es especialmente significativa en vista de las recientes filtraciones de nombres de usuarios y contraseñas de las bases de datos de Yandex, Mail.ru y Gmail. Es posible que variantes de la familia Ventir fueran utilizados para proveer información a las bases de datos publicadas por los cibercriminales."
En una entrevista publicadas en SCMagazine.com, Roman Unuchek, analista de malware senior en Kaspersky Lab, declaró que sólo se han detectado algunas infecciones por Ventir en China y que el servidor usado como Command and Control también se ubica en China. Unuchek añadió que la característica más problemática del malware es su estructura modular. "Tiene diferentes módulos que son peligrosos de manera individual. Pero todos juntos son una amenaza mayor."
En la publicación del análisis de la muestra, Kuzin añadió que el descubrimiento de Ventir demuestra que ese tipo de malware se volverá más común conforme pase el tiempo, debido a que "el software de código abierto hace mucho más fácil para los cibercriminales la creación de nuevo malware."
"Esto significa que podemos asumir con seguridad que el número de programas espía de este tipo crecerá en el futuro."

vamos, que como curiosidad, bien, pero realmente no es ni preocupante 

No hay comentarios:

Publicar un comentario

Deja tus opiniones y/o comentarios, nos sirven para mejorar nuestro blog, gracias