ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Trojan-Downloader.OSX.Flashfake

Fecha de detección 06/04/2012
Clase Trojan-Downloader
Plataforma OSX
Descripción

Detalles técnicos

Una familia de malware para Mac OS X. Las primeras versiones de este tipo de amenazas se detectaron en septiembre de 2011. En marzo de 2012, Flashback infectó más de 600 000 computadoras en todo el mundo. Las computadoras infectadas se combinaron en una botnet que permitía a los cibercriminales instalar módulos maliciosos adicionales a voluntad. Se sabe que uno de los módulos genera resultados falsos en los motores de búsqueda, ya que muestra resultados falsos para los usuarios y genera beneficios para los ciberdelincuentes a través del "fraude por clic". Es muy posible que, además de interceptar el tráfico del motor de búsqueda, los ciberdelincuentes puedan cargar otros módulos maliciosos a las computadoras infectadas, por ejemplo, para el robo de datos o la distribución de spam.

Un programa troyano que descarga otros programas maliciosos de Internet y los lanza en una máquina víctima sin que el usuario lo sepa. El programa es una aplicación Mac OS X (Mach-o). Tiene un tamaño entre 19,384 y 200,876 bytes. Está escrito en C ++.

Carga útil

Una vez lanzado, el troyano intenta cargar módulos maliciosos adicionales. Cada 24 horas, el troyano intenta conectarse a 30 sitios, generando 5 nombres de dominio, mientras que otros 25 están contenidos en el cuerpo del programa malicioso. Uno de esos sitios (elegido al azar) alberga el servidor C & C de la botnet desplegado por los ciberdelincuentes. Los dominios tienen nombres como:

jobijoolkfip4oasdkf.com
ithfmmcoo400dmsddditofdl.com
utu9nnmkrogjfldoritvz.com
999rjjfnvmvciwepoqwejdsadkf.com
ighrueokdhfcnnsjwwqqllxz.com
itgii5fmmjmsppperujvmsdkkff.com
jtierodoxzwerkolun.com
iruifjckdlfqwexzcnvdkffd.com
all-nightmexicansoftstore.com
callmetonight911.com
oversellingresourcestoday.com
fasttrackanddeliverytoyourdoors.com
trustedsoftappstore.com
fantastischappstore.com
megastoreappsstore.com
catholicappstorecloud.com
bestcatholicianappstoretoday.com
onlinesoftstoreofweekend.com
knockoutpricesappstoreeveryday.com
svupsvc.com
ajovgdekxrmw.com
ggatocowtonwpn.com
wxsrnrskapelhy.com
ouspjintgjsrw.com 

El troyano guarda los módulos descargados en las siguientes carpetas de aplicaciones:

/Aplicaciones/Safari.app/
/Aplicaciones/Firefox.app/
etc.

Los archivos descargados se pueden cifrar con el UUID de la máquina víctima. Si se carga con éxito, el troyano envía una notificación a sus propietarios en las direcciones:

http://adobesoftwareupdate.com/counter/
http://78.46.139.211/jcounter/    
etc.


Enlace al original