OS X: backdoor ataca o MAC-KeyChain

Um novo malware para o Mac OS X foi projetado para roubar o conteúdo do MAC-KeyChain e estabelecer uma backdoor de acesso permanente ao sistema infectado, advertem os pesquisadores de segurança da ESET.
Apelidado OSX/Keydnap, a nova ameaça é supostamente distribuída através de anexos maliciosos em mensagens de SPAM, mas os pesquisadores dizem que os downloads de sites não confiáveis também pode ser usados como vetores de infecção. Enquanto o mecanismo de distribuição exata para o malware é incerto, os investigadores dizem que um componente downloader é conhecido por ser distribuído em um arquivo .ZIP.
O arquivo .ZIP contém um arquivo executável Mach-O mascarado como .TXT ou .JPG, mas, contendo um caractere de espaço no final da extensão, o que resulta em ele ser executado no Terminal quando clicado duas vezes (ao invés de pré-visualização ou TextEdit como arquivos normais TXT ou JPG). O executável imita os ícones que o Finder geralmente aplica aos arquivos JPEG ou "de texto", o que significa que os usuários estão mais propensos a abrir o arquivo malicioso, acreditando que não é maligno.
O executável não-assinado Mach-O irá então baixar e executar o componente backdoor e também irá substituir seu conteúdo por um DECOY (chamariz), ou usando um arquivo incorporado codificado em Base64 ou por download a partir da Internet.
O documento-chamariz se destina a substituir o arquivo de Mach-O (que é o downloader), deixando assim o executável malicioso somente no arquivo ZIP. Enquanto o downloader carece de persistência, a backdoor adiciona uma entrada ao diretório LaunchAgents, que lhe permite sobreviver em toda reinicialização (permanência).
De acordo com a ESET, existem evidências que o OSX/Keydnap busca atingir underground forums e profissionais de segurança e/ou pentesters, já que as amostras do malware foram descobertas incorporadas em screenshots de painéis "C&C" de BotNets e listagens de números de cartão de crédito. As versões recentes também têm um número de versão, no entanto, todas as amostras têm o nome "icloudsyncd", afirma a ESET.
O backdoor, que é embalado com uma versão modificada do UPX, alcança persistência através da instalação de um arquivo PLIST em /Library/LaunchAgents/ (se privilégios de ROOT estão disponíveis) ou em $USER/Library/LaunchAgents/ (sem root).
O executável icloudsyncd é mantido na pasta /Library/Application Support/com.apple.iCloud.sync.daemon onde o ID do processo do malware em execução é mantido.
Se os privilégios de root estão disponíveis, o malware garante que ele pode ser executado como ROOT, alterando o proprietário de icloudsyncd para root:admin e executando os executáveis setuid e setgid. Ele também esconde a sua localização através da substituição de argv[0] com /usr/libexec/icloudsyncd-launchd netlogon.bundle .
O backdoor OSX/Keydnap é capaz de reunir as senhas e chaves armazenadas no chaveiro OS X (Mac-KeyChain) e aproveita o exemplo POC disponível no GitHub chamado Keychaindump (ambos possuem os mesmos nomes de função no código fonte). O software lê a memória das Securityd e olha para a chave de decodificação para o keychain do usuário, um processo previamente descrito em um artigo por K. Lee e H. Koo.
O OSX/Keydnap se conecta ao servidor de Comando-e-Controle (C&C) usando o proxy onion.to tor2web por HTTPS (um endereço da rede TOR). O conteúdo HTTP POST inclui o ID bot e dados, que são criptografados com uma chave RC4 específica.
A backdoor suporta comandos como
desinstalação, finalização, atualização a partir de um arquivo codificado em Base64;
atualização por URL (via endereço internet);
decodificar e executar um arquivo codificado em Base64 ou script Python;
fazer o download e executar um arquivo ou script Python a partir de uma URL;
executar um comando e relatar a saída;
escalar privilégios de administrador na próxima vez que o usuário executa um aplicativo;
decodificar, executar ou parar um arquivo codificado Base64 calledauthd_service.
O OSX/Keydnap é o segundo malware Mac OS X nas manchetes da semana, depois que o pessoal do Bitdefender publicou um relatório sobre Backdoor.MAC.Eleanor, um malware que supostamente pode ser utilizado para cyber-espionagem.