Společnost ESET analyzuje denně několik hrozeb zaměřených na OS X. Často to jsou potenciálně nežádoucí aplikace zobrazující reklamy. V posledních několika týdnech řeší bezpečnostní riziko jménem Keydnap, který chce ukrást hesla z aplikace Klíčenka.
Malware Keydnap využívá již dříve používaný systém. Program „dropper“, který nainstaluje malware, přichází nejčastěji v podobě neškodného .zip souboru nebo dokumentu. Dosud již bylo objeveno mnoho různých forem maskující se jako soubor Microsoft Word, obrázek ve formátu JPEG nebo textový soubor.
Tento způsob šíření malwaru už je známý dlouho, ale Keydnap je vylepšen a používá nový trik. Vloží do názvu souboru mezeru. Například, co vypadá jako obrazový soubor s názvem „logo.jpg“, je vlastně soubor s názvem „logo.jpg “ s mezerou na konci.
Pozor na příponu souboru
Ukazuje se, že mezera za příponou je velmi důležitá, protože brání OS X nahlížet na „.jpg“ jako na příponu souboru, takže si nemyslí, že soubor je JPEG. Vzhledem k tomu, že soubor je ve skutečnosti spustitelný soubor Mach-O, poklepáním jej uživatel nespustí v aplikaci Náhled nebo jiném prohlížeči obrázků, ale v Terminálu.
Soubor po spuštění otevře Terminál a okamžitě jej zase zavře. Je to tak rychlé, že si uživatel ani nemusí všimnout, že Terminál byl otevřen. Jakmile je spuštěn, dropper nainstaluje škodlivý proces zvaný icloudsyncd, který běží po celou dobu na pozadí. Ten pak komunikuje se serverem přes adresu onion.to a může přijímat celou řadu instrukcí podobně jako jakýkoliv backdoor, ale s jednou zajímavou výjimkou. Pokusí se získat hesla z Klíčenky a ty následně předá zpět serveru.
V bezpečí jsou ti uživatelé, kteří používají funkci Gatekeeper. Ta, po pokusu spustit škodlivý software, zobrazí varování pro uživatele, že soubor je od neznámého vývojáře a zabraňuje spuštění.
Pokud máte Gatekeeper nakonfigurován tak, že umožňuje spouštět veškerý software bez ohledu na zdroj, malware stáhne a spustí backdoor složku, která je spuštěna při každém spuštění systému.
V případě, že uživatel má Gatekeeper vypnutý, uvidí upozornění, že soubor je aplikace stažená z internetu.
Zdroj: eset.ie, malwarebytes.com
Chcete k tomu něco dodat? Napište krátce proč.