Cercetătorii ESET au analizat OSX/Keydnap, un Troian care fură parolele și cheile de pe keychain-ul OS X, creând un backdoor permanent. Deși nu este încă foarte clar mecanismul inițial de infectare, se presupune că malware-ul se răspândește prin atașamente la mesajele spam, descărcări de pe site-uri compromise sau prin alți vectori de infectare.
Mac OS X (sau pur şi simplu OS X) este un sistem de operare dezvoltat, comercializat şi vândut de firma Apple pentru computerele sale de tip Macintosh. Începând din 2009, fiecare sistem Macintosh include preinstalată cea mai recentă versiune a acestui sistem de operare. Mac OS X este succesorul sistemului de operare Mac OS original sau „clasic” , care a fost sistemul de operare principal al companiei Apple Computers (astăzi: Apple) încă din 1984. Evident, la acest moment Apple produce versiuni de OS X specializate pentru utilizarea Apple TV, Apple iPhone şi Apple iPod Touch.
Downloader-ul Keydnap este distribuit sub forma fișierelor .zip ce conțin executabile care imită pictograma Finder ce este folosită de obicei pentru fișierele JPEG sau text. Acest aspect crește probabilitatea ca utilizatorul să dea dublu-clic pe fișier. Odată început procesul, o fereastră Terminal se deschide, iar sarcina malițioasă este executată.
În acest punct backdoor-ul este configurat, iar secvența malware începe să colecteze și să extragă informațiile de bază despre Mac-ul pe care rulează. La cererea serverului C&C, Keydnap poate solicita privilegii administrative prin deschiderea unei ferestre obișnuite pe care OS X o folosește în acel scop. Dacă victima introduce datele de autentificare, backdoor-ul va rula atunci ca root, având conținutul keychain al victimei extras.
“În timp ce există mai multe mecanisme de securitate în vigoare integrate în OS X pentru a combate atacurile malware, după cum observăm în această situație, este posibil ca utilizatorul să fie indus în eroare pentru a executa codul rău intenționat, într-o secvență non-sandboxed. Toți utilizatorii OS X ar trebui să rămână vigilenți, în vreme ce noi încă nu știm cum este distribuit Keydnap și nici câte victime există”, spune Marc-Etienne M. Leveille, Cercetător Malware la ESET, important furnizor european de soluţii antimalware.
COMMENTS