Изследователи откриха нов малуер за Mac OS X, чиято цел е да открадне паролите на потребителя и да остави компютъра уязвим за други атаки.
Според експертите от ESET, малуерът, който е кръстен Keydnap, се фокусира върху кражба на пароли от системата за управление на пароли в Mac OS X – Keychain и след това да инсталира перманентна задна вратичка в системата на жертвата, оставяйки компютъра уязвим и за други атаки.
Ако бъде свален, Keydnap се крие в .zip файл, в който има маскиран изпълним файл, който е под формата на обикновен .jpg или .txt. Изпълнимият файл има интервал в края на файловото разширение и по този начин, ако бъде стартиран с двоен клик на мишката, той отваря приложението Terminal вместо съответните приложения за текст или изображения.
По този начин малуерът създава задна вратичка в системата и дърпа файл от интернет, чрез който прикрива дейностите си. Задната вратичка се добавя в LaunchAgents директорията и остава там дори и при рестарт на системата.
След това вече кибер-престъпниците имат достъп до машината, могат да шпионират жертвите си и да преглеждат сесии, а Keydnap атакува Keychain, за да събере паролите на жертвата, а след това търси в securityd’s memory на Apple, за да намери декриптори за ключовете в Keychain чрез Keychaindump.
Keydnap също така се опитва и да подмами потребителя да въведе данните и паролите си, за да получи администраторски достъп до машината. За този подход изследователите казват:
„Keydnap ще изкара диалогов прозорец, в който ще пита потребителя за неговите данни и парола и прозорецът изглежда точно като този, който потребителите на Mac OS X виждат редовно, когато от тях биват поискани администраторски права.
Ако потребителят се върже на този трик, малуерът вече ще може да се стартира с администраторски права и да екстрактне паролите от Keychain безпроблемно.“
Когато данните и паролата на потребителя биват разбрани, малуерът използва мрежата на Tor за да съобщи на C&C сървъра на кибер-престъпниците, както и да получи нови команди.
Засега изследователите по сигурността не са сигурни по какъв начин потребителите се заразяват с Keydnap, но най-вероятно това става при съмнителни фишинг кампании, сваляне на файлове от съмнителни уеб сайтове или от вредоносни файлове от електронната поща.
От ESET казват, че няколкото образци от Keydnap показват, че цел на малуера са потребители от различни ъндърграунд форуми и дори разработчици по сигурността. Към момента не се знае колко заразени машини има с новия малуер.