Basándose en los análisis realizados por Kaspersky Lab, estos últimos días, informan que un nuevo programa malicioso, conocido como SabPub, explota el mismo agujero de seguridad de Java, como el troyano Flashback y permite a los ataques dirigidos contra los usuarios de Mac.
Esta nueva amenaza entra por la puerta trasera de las MacOSX, y parece haber sido diseñada para atques dirigido. SabPub, funciona como otros downloaders, que son el caballo de batalla del mundo de los hackers. Después de infectar un sistema operativo vulnerable, maquina X, se conecta a un sitio web que es parte de una red de comando y control en Internet. A partir de ahí, recibe y ejecuta las instrucciones para descargar otros componentes maliciosos que pueden ser utilizados para registrar las pulsaciones de teclado, iscribir al húesped infectado en un botnet y así continuar con la cadena de infección.
Según declaraciones del investigador de Kaspersky Lab, Costin Raiu, a pesar de que Java siempre lleva a cabo acciones bastante estándar, esta vez se han protegido ZelixKlassMaster, un ofuscador Java bastante flexible y potente. Lo cuál fue creado con el fin de evitar la detección de productos anti-virus.
Por el momento, no está claro como los usuarios se infectan, pero viendo que su funcionalidad es baja, nos permite comprender que se trata de ataques dirigidos. Existen varios ejemplos para demostrar que el mismo fue lanzado a través de correos electrónicos que contienen una URL que apunta a dos sitios web, ubicados en E.E.U.U. y Alemania.
El momento del descubrimiento de esta puerta trasera es interesante, ya que en marzo fueron detectados varios informes que señalaban ataques dirigidos contra los usuarios de Mac OSX. Pero dicho virus no parece ser similar a los utilizados para aquellos ataques, aunque es posible que forme parte de campañas similares a las realizadas en marzo.
Al estar elaborados con información de depuración, lo que hace a su análisis más fácil, se puede concluir que se trata de un virus que se encuentra en desarrollo y no es una versión final
“Estamos continuando nuestra investigación sobre este malware y publicará las actualizaciones cuando sea necesario”, dijo Costin Raiu.
