我们博客了osx.backdoor.eleanor恶意软件刚刚发现了这一周。

在Mac World的罕见转弯的事件中,一个新的和无关的恶意软件ESET宣布第二天:OSX.KEYDNAP。

有趣的是,事实证明,这种恶意软件可以以某种方式与一些与众不同的Windows银行恶意软件相关。

KeyDnap恶意软件通过旧主题的新扭曲安装。“丢弃器”(安装恶意软件的程序)以无害文档的形式出现。已经发现了许多不同的形式,伪装为Microsoft Word文件,JPEG映像和纯文本文件。

恶意软件有许多不同的方式,但KeyDnap使用一个新的技巧:它在文件名中扩展后放置了一个空格。因此,例如,名为“logo.jpg”的图像文件实际上是名为“logo.jpg”,结尾的空间。

事实证明,空间很重要。它可以防止Mac OS X将“.jpg”视为文件扩展名,因此不认为该文件实际上是JPEG。由于文件真的是MACH-O可执行文件,因此双击它将在终端中运行它,而不是按用户期望的方式打开JPEG文件。

一旦执行,Dropper将安装一个启动代理,以保持一个名为iCloudsyncd的恶意进程始终运行。它还将下载并打开某种诱饵文件,旨在匹配滴管文件假装的内容。最后,它会退出终端掩盖它永远的开放。

这非常快速地发生,同时诱饵正在打开,因此用户甚至可能不会注意到终端是打开的。

然后,iCloudSyncd进程通过洋葱地址与命令和控制服务器通信。它可以接收各种指令,就像任何后门一样,一个有趣的例外:它将尝试使用概念验证来捕获钥匙串的密码KeyChainDump.,并将它们传回服务器。

这意味着感染的机器可能会将存储在钥匙串中的所有密码泄露给恶意软件背后的罪犯。

幸运的是,这种恶意软件有一个重要的障碍跳跃以获得:网守。默认情况下,Mac OS X将不允许使用这些恶意放弃应用程序运行,因为它们没有使用有效的Apple开发人员ID证书签名。

keydnap1

此外,即使用户已关闭网守,它们也会看到文件是从因特网下载的应用程序。

KEYDNAP-KEEKENGER-DASBARD

当您尝试打开JPEG文件时,请看看此选项应该是一个主要的红旗。当然,很多人都没有像这样读取警告,只需点击打开的按钮即可让它消失。

总而言之,除了盗窃钥匙串数据之外,这并不是与过去出现的其他MAC恶意软件不同的全部。

与Windows恶意软件的连接

如上所述,此时keydnap的主要目的是从受感染的主机抢夺和抓取凭证。值得注意的是,在我们对keyDnap的一个变体的分析期间,我们观察到从先前与流行的Windows恶意软件相关联的服务器下载其有效载荷的恶意软件费车/小马。类似于OSX.KEYDNAP,费车的主要功能之一是从受损主机收获凭据。

OSX.KEYDNAP有效载荷下载

OSX.KEYDNAP有效载荷下载

主持人:www。nuggets411 [dot] com
IP地址:208.109.181.53

利用Virustotal查看已知与上述IP地址通信的恶意软件会产生多个Windows恶意软件,包括多个免税的变体

TAGIT VT.

在2016年2月初分发的这种特殊变体,可以与类似指定的域传送到OSX.KEYDNAP服务器,并在同一IP地址托管:

TAGIT VT 2

虽然CodeBase似乎没有相同,但似乎与KeyDnap和Foreit之间存在一些关系。虽然将Mac Malware视为完全与Windows恶意软件完全分开,但它通常很诱人,但这并非总是如此。Mac Malware等keyDnap的实施可能是相当简单的,但重要的是要记住,这种恶意软件背后的人和基础设施可能不那么简单。

(感谢Malwarebytes的亚当托马斯,用于分析。必威平台APP)