domingo, 15 de septiembre de 2013

septiembre 15, 2013

Nueva variante del malware del Tibet

Leave a comment
 esta nueva variante descubierta en Virus Total, el ataque llega desde un Applet Java que se ejecuta sin pedir ninguna interacción con el usuario aprovechándose de las vulnerabilidades ya parcheadas de Java CVE-2013-2465 y CVE-2013-2471. Una vez ejecutado se descarga el backdoor que le permite controlar al atacante la máquina infectada. Para ello crea los siguientes ficheros:
/Library/Audio/Plug-Ins/Components/AudioService /Library/LaunchAgents/com.apple.AudioService.plist
Como se puede suponer, para conseguir la persistencia al reinicio, el malware crea un LaunchAgent que arranca el backdoor y contacta con el servidor de C&C situado en China (mail.tbnewspaper.com), a la espera de recibir comandos.
Figura 1: Applet Java de OSX/Tibet.D

0 comentarios:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)

Buscar este blog
mrgansomer. Con tecnología de Blogger.