Posiblemente, la infección ocurre a través de un componente tipo downloader que se distribuye a través de un archivo ZIP. El archivo ZIP contiene un binario de tipo Mach-O, con una extensión que no parece ser maliciosa, como por ejemplo txt o jpg. Sin embargo, la extensión del archivo contiene un espacio al final, lo cual permite que al hacer doble clic se ejecute con un terminal y no con Preview o TextEdit.
Figura 1: Ejecutable de Keydnap
El downloader es un archivo sin firmar, como se dijo anteriormente, con formato Mach-O. Por lo cual, si el archivo es descargado desde un navvegador, Gatekeeper nos alertará, si éste está configurado correctamente, y no se ejecutará, a no ser que el usuario quiera ejecutarlo. El downloader de Keydnap es muy sencillo. En primer lugar, descarga y ejecuta el componente de persistencia, es decir, la backdoor. Reemplaza el contenido del ejecutable del downloader por un archivo señuelo. Cuando se abre el documento señuelo se reemplaza el archivo downloader Mach-O. Según indicando investigadores de ESET, Keydnap está dirigido a usuarios de foros del mercado negro o tal vez a los investigadores de seguridad.
Figura 2: Archivo malicioso empaquetado stock_upx y el modificado
Como se puede ver, el malware sigue apareciendo en los sistemas OS X. Por esta razón debemos tener precaución con los archivos que se descargan y se ejecutan. Además, hay que desconfiar de los archivos recibidos por correo electrónico. Medidas de protección como antivirus y una buena configuración de Gatekeeper deben estar en nuestros OS X.
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths
Continúar leyendo...