7 de septiembre de 2014

SOFTWARE ESPIA. Ciberdelicuentes llevan portando XSLCmd spyware para OS X, desde hace cinco años.

La versión para Windows del malware data de alrededor de 2009, y la edición de Apple Mac de acciones XSLCmd contiene partes significativas del mismo código. Se puede abrir un shell inversa a sus propietarios, de forma automática transferir sus documentos a un sistema remoto, instalar ejecutables, y es configurable.
Pero el puerto OS X añade nuevas características, según la firma de seguridad FireEye, que afirma haber descubierto la herramienta de instalación de puerta trasera.
"La versión de OS X de XSLCmd incluye dos características adicionales que no se encuentran en las variantes de Windows que hemos estudiado en profundidad: clave de registro y captura de la pantalla", dijo FireEye.
El biz infosec siguió el desarrollo del software a un grupo que ha llamado GREF debido al hábito de la banda de abandonar las referencias a Google en sus nefastas actividades.
GREF ha apuntado a contratistas de defensa estadounidenses de la electrónica y las empresas de ingeniería en todo el mundo, así como las fundaciones y las organizaciones no gubernamentales - especialmente aquellos con intereses en Asia.
Táctica favorita de la banda consiste en la creación de pozos de agua: en esencia, la piratería sitios web populares entre los trabajadores de las industrias antes mencionadas para inyectar un archivo JavaScript malicioso en las páginas web de los sitios.
El mecanismo para tirar en el código está escondido dentro de los bloques de código de Google Analytics. Una vez ejecutado, el código JavaScript se pone a trabajar tirando en e instalar XSLCmd.
FireEye explicó que "fiel a su apodo de el enlace por lo general se coloca en el interior de un bloque de código de Google Analytics existente en el código fuente de la página para ayudarle a oscuras, en lugar de simplemente añade al final del archivo al igual que muchos otros atacantes hicieron."
GREF han utilizado a menudo las vulnerabilidades de servidor web para sentar las bases para los ataques.
"Se han sabido aprovechar vulnerabilidades en ColdFusion, Tomcat, JBoss, FCKEditor, y otras aplicaciones de Internet para acceder a los servidores, y entonces van a comúnmente desplegar una variedad de conchas web relevantes para el software de la aplicación web que se ejecuta en el servidor de acceso y controlar el sistema ", los investigadores de FireEye James T. Bennett y Mike Scott escribió en su blog.
Herramientas para la vigilancia y control a distancia dirigidos a los usuarios de Mac son infrecuentes. Sin embargo, las herramientas de seguridad de proveedor AlienVault documentó un ataque en Office para Mac  contra las organizaciones no gubernamentales tibetanas hace dos años.
Y el llamado grupo IceFrog atacó establecimientos militares y los medios de comunicación del Sur de Corea y Japón el año pasado después de que el desarrollo de malware de puerta trasera que trabajó en la instalación de máquinas Mac y Windows, como el descubierto por la firma de seguridad rusa Kaspersky Lab.
Fuente:Fireeye.com/blog/