Español | English
rss facebook linkedin Twitter

Cómo hacer que un código malicioso de Windows funcione en MacOS

"Cómo hacer que un código malicioso de Windows funcione en MacOS y ser un irresponsable" debería ser el título. Ayer me quedé completamente asustado; en una carpeta llena de herramientas y de documentos de repente no se podía abrir los archivos. Al principio pensé que se había corrompido alguno y no le di importancia; cuando me di cuenta que casi todos no se podían abrir me empecé a asustar, y cuando ya viendo los archivos con un editor hexadecimal me di cuenta de que todos parecían tener un patrón parecido, entré en un ataque de pánico; todo tenía pinta que "algo" había hecho algo con mis ficheros, pero por más que pensaba no recordaba ningún ransomware para MacOS reciente.

¿Me he infectado con algún código malicioso? He analizado varios códigos maliciosos para MacOS durante los últimos años y todos son fáciles de detectar y bastante simples en su funcionamiento, pero me estaba empezando a asustar de haber sido infectado y no haberme dado cuenta (¡será la edad, que van a decir de mi, pensé yo!). Me tiré durante horas examinando el sistema operativo por todos los sitios donde suelen habitar este tipo de parásitos y sin encontrar nada. Todos los ficheros modificados compartían una ventana de tiempo y me tiré un buen rato analizando que había pasado durante esa ventana de tiempo sin encontrar el punto de compromiso (conexiones remotas, historial web, actividad en procesos, en archivos, etc. etc.). Ya no sabía que hacer. Busqué en todas las listas de correo, sitios web y todo lo que pude para ver si había algo reciente que pudiera haber hecho que mi máquina se infectara (con 10.6.2). Todo sin éxito.

La única pista que me sonaba rara es que durante ese día había estado analizando varias webs con kits de infección recientes (que en teoría sólo afectaban a máquinas Windows) y estuve analizando con detalle los exploits que utilizaban para ver si encontraba alguno que afectara a MacOS (aunque suene raro, ilusionado también con la idea puesto que no existen kits de infección con exploits para este sistema operativo, aún). Al no encontrar nada, me puse a analizar los 3 códigos maliciosos que había encontrado en esas páginas; el día de autos, los había ejecutado en una máquina virtual con Windows XP. Sólo se me ocurría que estuvieran aprovechando alguna vulnerabilidad en VmWare Fusion y que fueran capaces de saltar a la máquina host.

Después de pasarme parte de la noche dándome cuenta de que estaba llegando a un callejón sin salida, y después de tantas horas de paranoia, se me ocurrían conspiraciones cada cuál más increíble. Hasta que en la n-ésima vez que restaure un snapshot de la máquina virtual de Windows donde había ejecutado esos archivos, me di cuenta de un nimio detalle: había compartido una carpeta ("esa carpeta") de la máquina host antes de infectar el Windows para coger una herramientas y luego se me había olvidado desconectar la carpeta compartida. Entonces, ¡encajaron todas las piezas del puzzle!

¿Qué creéis que pasó? La solución, en los próximos días.

David Barroso
S21sec e-crime

6 comentarios:

Anónimo dijo...

mas el drama!.

Josep dijo...

Fácil! Montaste el disco nativo (o una carpeta) del mac como un disco virtual del XP con permisos de escritura. Así el kit de turno infectó la máquina virtual pero sobrescribiendo también los archivos compartidos.

Menudo desliz más desastroso!

Ehooo dijo...

Yo creo que como tenias la carpeta compartida y seguro que tiene acceso de escritura infecto los fichero de la carpeta compartida de los sistemas en red SMB que encuentra

Pedro Sánchez dijo...

Yo estoy de acuerdo con Josep. ¿no?

Un abrazote!!

Txalin dijo...

Me extrañaria que montaras el disco como escritura como han apuntando en los compañeros, pero llevo varios dias dandole vueltas y no se me ocurre nada mejor.

Anónimo dijo...

FELICITACIONES!!!
YA TENES TU CLON!!!!!!
CONCHUDO!!!!!!!!


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login