Um novo malware para o Mac OS X foi projetado para roubar o conteúdo do MAC-KeyChain e estabelecer uma backdoor de acesso permanente ao sistema infectado, advertem os pesquisadores de segurança da ESET.

 

Apelidado OSX/Keydnap, a nova ameaça é supostamente distribuída através de anexos maliciosos em mensagens de SPAM, mas os pesquisadores dizem que os downloads de sites não confiáveis ​​também pode ser usados como vetores de infecção. Enquanto o mecanismo de distribuição exata para o malware é incerto, os investigadores dizem que um componente downloader é conhecido por ser distribuído em um arquivo .ZIP.

 

O arquivo .ZIP contém um arquivo executável Mach-O mascarado como .TXT ou .JPG, mas, contendo um caractere de espaço no final da extensão, o que resulta em ele ser executado no Terminal quando clicado duas vezes (ao invés de pré-visualização ou TextEdit  como arquivos normais TXT ou JPG). O executável ​​imita os ícones que o Finder geralmente aplica aos arquivos JPEG ou "de texto", o que significa que os usuários estão mais propensos a abrir o arquivo malicioso, acreditando que não é maligno.

 

O executável não-assinado Mach-O irá então baixar e executar o componente backdoor e também irá substituir seu conteúdo por um DECOY (chamariz), ou usando um arquivo incorporado codificado em Base64 ou por download a partir da Internet. 

 

O documento-chamariz se destina a substituir o arquivo de Mach-O (que é o downloader), deixando assim o executável malicioso somente no arquivo ZIP. Enquanto o downloader carece de persistência, a backdoor adiciona uma entrada ao diretório LaunchAgents, que lhe permite sobreviver em toda reinicialização (permanência).

 

De acordo com a ESET, existem evidências que o OSX/Keydnap busca atingir underground forums e profissionais de segurança e/ou pentesters, já que as amostras do malware foram descobertas incorporadas em screenshots de painéis "C&C" de BotNets e listagens de números de cartão de crédito. As versões recentes também têm um número de versão, no entanto, todas as amostras têm o nome "icloudsyncd", afirma a ESET.

 

O backdoor, que é embalado com uma versão modificada do UPX, alcança persistência através da instalação de um arquivo PLIST em /Library/LaunchAgents/ (se privilégios de ROOT estão disponíveis) ou em $USER/Library/LaunchAgents/ (sem root). 

 

O executável icloudsyncd é mantido na pasta /Library/Application Support/com.apple.iCloud.sync.daemon onde o ID do processo do malware em execução é mantido.

 

Se os privilégios de root estão disponíveis, o malware garante que ele pode ser executado como ROOT, alterando o proprietário de icloudsyncd  para root:admin e executando os executáveis setuid e setgid. Ele também esconde a sua localização através da substituição de argv[0] com /usr/libexec/icloudsyncd-launchd netlogon.bundle .

 

O backdoor OSX/Keydnap é capaz de reunir as senhas e chaves armazenadas no chaveiro OS X (Mac-KeyChain) e aproveita o exemplo POC disponível no GitHub chamado Keychaindump (ambos possuem os mesmos nomes de função no código fonte). O software lê a memória das Securityd e olha para a chave de decodificação para o keychain do usuário, um processo previamente descrito em um artigo por K. Lee e H. Koo.

 

O OSX/Keydnap se conecta ao servidor de Comando-e-Controle (C&C) usando o proxy onion.to tor2web por HTTPS (um endereço da rede TOR). O conteúdo HTTP POST inclui o ID bot e dados, que são criptografados com uma chave RC4 específica.

 

A backdoor suporta comandos como

  • desinstalação, finalização, atualização a partir de um arquivo codificado em Base64;

  • atualização por URL (via endereço internet);

  • decodificar e executar um arquivo codificado em Base64 ou script Python;

  • fazer o download e executar um arquivo ou script Python a partir de uma URL;

  • executar um comando e relatar a saída;

  • escalar privilégios de administrador na próxima vez que o usuário executa um aplicativo;

  • decodificar, executar ou parar um arquivo codificado Base64 calledauthd_service.

 

O OSX/Keydnap é o segundo malware Mac OS X  nas manchetes da semana, depois que o pessoal do Bitdefender publicou um relatório sobre Backdoor.MAC.Eleanor, um malware que supostamente pode ser utilizado para cyber-espionagem.

 

Please reload

Destaques
Please reload

Posts Recentes

December 12, 2016