La empresa ESET ha estado investigando un caso de un nuevo malware para OSX. El objetivo principal del malware es robar el keychain que los usuarios disponen en su sistema operativo y mantener una backdoor de forma persistente. No es conocido del todo el método utilizado por los atacantes para Keydnap se ejecute en el sistema y quede residente. Se especula con que se podría llevar a cabo a través del envío de archivos adjuntos en mensajes de spam o, incluso, por realizar descargas desde sitios de dudosa reputación o no confiables.
Posiblemente, la infección ocurre a través de un componente tipo downloader que se distribuye a través de un archivo ZIP. El archivo ZIP contiene un binario de tipo Mach-O, con una extensión que no parece ser maliciosa, como por ejemplo txt o jpg. Sin embargo, la extensión del archivo contiene un espacio al final, lo cual permite que al hacer doble clic se ejecute con un terminal y no con Preview o TextEdit.
Figura 1: Ejecutable de Keydnap |
El downloader es un archivo sin firmar, como se dijo anteriormente, con formato Mach-O. Por lo cual, si el archivo es descargado desde un navvegador, Gatekeeper nos alertará, si éste está configurado correctamente, y no se ejecutará, a no ser que el usuario quiera ejecutarlo. El downloader de Keydnap es muy sencillo. En primer lugar, descarga y ejecuta el componente de persistencia, es decir, la backdoor. Reemplaza el contenido del ejecutable del downloader por un archivo señuelo. Cuando se abre el documento señuelo se reemplaza el archivo downloader Mach-O. Según indicando investigadores de ESET, Keydnap está dirigido a usuarios de foros del mercado negro o tal vez a los investigadores de seguridad.
Figura 2: Archivo malicioso empaquetado stock_upx y el modificado |
Como se puede ver, el malware sigue apareciendo en los sistemas OS X. Por esta razón debemos tener precaución con los archivos que se descargan y se ejecutan. Además, hay que desconfiar de los archivos recibidos por correo electrónico. Medidas de protección como antivirus y una buena configuración de Gatekeeper deben estar en nuestros OS X.
No hay comentarios:
Publicar un comentario