Un 0-day en Firefox ha revelado un backdoor en macOS

Hace unos días un usuario alertó a los investigadores de que a través de un 0-day ya conocido en Firefox habían logrado ejecutar código en su Mac (corriendo macOS 10.14.5). Cuando la víctima contactó con los investigadores no les proporcionó mucha más información acerca del 0Day de Firefox utilizado en el ataque, por suerte ya se conocen más detalles acerca del incidente. Cuando un atacante dispone de un 0day de navegador, necesita también una forma de “entregárselo” al objetivo. Cuando la victima escogida es una persona concreta en lugar de una empresa u organización es habitual el uso de e-mails como gancho para llevar a la víctima a una página maliciosa en la que se pueda lanzar el exploit.

La supuesta víctima aseguraba que el exploit había logrado instalar en su equipo un malware llamado Finder.app. Curiosamente apenas unos días después de la notificación de este malware el investigador de Coinbase, Philip Martin alertó en Twitter que la empresa había sido atacada utilizando un 0-day de Firefox que tenía como objetivo los empleados de la empresa. Philip también advirtió que otras compañías relacionadas con la criptografía habían sido atacadas pero que desconocía el impacto que podía haber tenido este ataque. Tras hacerse pública esta información, la victima aclaró que hacia un tiempo había estado involucrado en operaciones relacionadas con el cambio de criptodivisas, algo que hace muy razonable el hecho de que el 0-day mencionado anteriormente sea el mismo que el detectado por Coinbase. Esta vulnerabilidad de Firefox ya ha sido solucionada y ha recibido el código CVE-2019-11707.

Figura 1: Aplicación maliciosa Finder.app

Al echar un vistazo a Finder.app (la aplicación maliciosa instalada por el exploit) se puede comprobar que contiene uno de los hash que Philip Martin compartió en sus tweets alertando del 0-day. Tras analizar un poco más la herramienta (a través de virustotal), se descubrió que esta guardaba relación con Wirenet, el primer troyano capaz de robar contraseñas de Linux y mac OS X conocido. De hecho es muy posible que esta variación del malware haya sido obra del mismo ciberdelincuente o equipo que lanzó Wirenet en 2012. En su correo la victima aseguraba que la aplicación instalada había logrado bypasear el Gatekeeper, algo que resulta normal si tenemos en cuenta que el malware fue entregado a través de un 0-day de navegador. Gatekeeper solo analiza las herramientas o aplicaciones cuando las descargamos de una forma “normal”, aquellos archivos o apps descargados a través de un payload no utilizan el atributo de cuarentena o lo eliminan directamente para no alertar al Gatekeeper. Estaremos al tanto de más noticias acerca de este tema.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.