Menú principal

viernes, 8 de julio de 2016

OSX/Keydnap: Malware que te roba las credenciales

La empresa ESET ha estado investigando un caso de un nuevo malware para OSX. El objetivo principal del malware es robar el keychain que los usuarios disponen en su sistema operativo y mantener una backdoor de forma persistente. No es conocido del todo el método utilizado por los atacantes para Keydnap se ejecute en el sistema y quede residente. Se especula con que se podría llevar a cabo a través del envío de archivos adjuntos en mensajes de spam o, incluso, por realizar descargas desde sitios de dudosa reputación o no confiables.

Posiblemente, la infección ocurre a través de un componente tipo downloader que se distribuye a través de un archivo ZIP. El archivo ZIP contiene un binario de tipo Mach-O, con una extensión que no parece ser maliciosa, como por ejemplo txt o jpg. Sin embargo, la extensión del archivo contiene un espacio al final, lo cual permite que al hacer doble clic se ejecute con un terminal y no con Preview o TextEdit

Figura 1: Ejecutable de Keydnap

El downloader es un archivo sin firmar, como se dijo anteriormente, con formato Mach-O. Por lo cual, si el archivo es descargado desde un navvegador, Gatekeeper nos alertará, si éste está configurado correctamente, y no se ejecutará, a no ser que el usuario quiera ejecutarlo. El downloader de Keydnap es muy sencillo. En primer lugar, descarga y ejecuta el componente de persistencia, es decir, la backdoor. Reemplaza el contenido del ejecutable del downloader por un archivo señuelo. Cuando se abre el documento señuelo se reemplaza el archivo downloader Mach-O. Según indicando investigadores de ESET, Keydnap está dirigido a usuarios de foros del mercado negro o tal vez a los investigadores de seguridad. 

Figura 2: Archivo malicioso empaquetado stock_upx y el modificado

Como se puede ver, el malware sigue apareciendo en los sistemas OS X. Por esta razón debemos tener precaución con los archivos que se descargan y se ejecutan. Además, hay que desconfiar de los archivos recibidos por correo electrónico. Medidas de protección como antivirus y una buena configuración de Gatekeeper deben estar en nuestros OS X.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

En el futuro iPhone podrá recopilar biometría y fotos de los ladrones

Apple ha obtenido una patente el pasado jueves en la que se describe un método de almacenamiento de datos biométricos de un usuario no...

Otras historias relacionadas

Entradas populares