Компания ESET предупреждает о появлении новой вредоносной программы, поражающей компьютеры под управлением операционных систем OS X: зловред носит имя Keydnap.
Предварительный анализ показывает, что Keydnap распространяется в ZIP-архиве, приложенном к фишинговому письму. В архиве находится исполняемый файл Mach-O, замаскированный под текст или изображение в формате JPEG. При попытке открытия вложения зловред отображает некую картинку или документ, параллельно выполняя вредоносный код. В результате происходит загрузка и установка бэкдора.
После проникновения на компьютер жертвы Keydnap собирает различную информацию о зараженной системе. Вредоносная программа использует права текущего пользователя, но пытается получить root-доступ, для чего открывает окно ввода пароля Mac-пользователя.
Получив расширенные права в системе, Keydnap копирует содержимое менеджера паролей «Связка ключей iCloud». В нём хранятся актуальные имена пользователей и пароли к веб-сайтам из браузера Safari, данные кредитных карт и информация о сетях Wi-Fi со всех одобренных устройств. Кроме того, в «Связке ключей iCloud» сохранены учётные записи служб Mail, «Контакты», «Календарь» и «Сообщения», синхронизированные со всеми Mac-компьютерами жертвы.
Похищенная информация отправляется на управляющий сервер злоумышленников посредством Tor2Web. Зловред также может устанавливать обновления, скачивать и запускать другие исполняемые файлы, запрашивать для них права администратора.
Источник: