La
versión para Windows del malware data de alrededor de 2009, y la edición de
Apple Mac de acciones XSLCmd contiene partes significativas del mismo código.
Se puede abrir un shell inversa a sus propietarios, de forma automática
transferir sus documentos a un sistema remoto, instalar ejecutables, y es
configurable.
Pero
el puerto OS X añade nuevas características, según la firma de seguridad
FireEye, que afirma haber descubierto la herramienta de instalación de puerta
trasera.
"La
versión de OS X de XSLCmd incluye dos características adicionales que no se
encuentran en las variantes de Windows que hemos estudiado en profundidad:
clave de registro y captura de la pantalla", dijo FireEye.
El
biz infosec siguió el desarrollo del software a un grupo que ha llamado GREF
debido al hábito de la banda de abandonar las referencias a Google en sus
nefastas actividades.
GREF
ha apuntado a contratistas de defensa estadounidenses de la electrónica y las
empresas de ingeniería en todo el mundo, así como las fundaciones y las
organizaciones no gubernamentales - especialmente aquellos con intereses en
Asia.
Táctica
favorita de la banda consiste en la creación de pozos de agua: en esencia, la
piratería sitios web populares entre los trabajadores de las industrias antes
mencionadas para inyectar un archivo JavaScript malicioso en las páginas web de
los sitios.
El
mecanismo para tirar en el código está escondido dentro de los bloques de
código de Google Analytics. Una vez ejecutado, el código JavaScript se pone a
trabajar tirando en e instalar XSLCmd.
FireEye
explicó que "fiel a su apodo de el enlace por lo general se coloca en el
interior de un bloque de código de Google Analytics existente en el código
fuente de la página para ayudarle a oscuras, en lugar de simplemente añade al
final del archivo al igual que muchos otros atacantes hicieron."
GREF
han utilizado a menudo las vulnerabilidades de servidor web para sentar las
bases para los ataques.
"Se
han sabido aprovechar vulnerabilidades en ColdFusion, Tomcat, JBoss, FCKEditor,
y otras aplicaciones de Internet para acceder a los servidores, y entonces van
a comúnmente desplegar una variedad de conchas web relevantes para el software
de la aplicación web que se ejecuta en el servidor de acceso y controlar el
sistema ", los investigadores de FireEye James T. Bennett y Mike Scott
escribió en su blog.
Herramientas
para la vigilancia y control a distancia dirigidos a los usuarios de Mac son
infrecuentes. Sin embargo, las herramientas de seguridad de proveedor
AlienVault documentó un ataque en Office para Mac contra las organizaciones no gubernamentales
tibetanas hace dos años.
Y
el llamado grupo IceFrog atacó establecimientos militares y los medios de
comunicación del Sur de Corea y Japón el año pasado después de que el
desarrollo de malware de puerta trasera que trabajó en la instalación de
máquinas Mac y Windows, como el descubierto por la firma de seguridad rusa
Kaspersky Lab.
Fuente:Fireeye.com/blog/