Onderzoekers van beveiligingsbedrijf ESET hebben OS X-malware gevonden die gegevens uit de keychain steelt en fungeert als backdoor. Het bedrijf heeft nog niet met zekerheid kunnen vaststellen op welke manier de malware zich verspreidt en hoeveel slachtoffers er zijn.
De malware staat bekend onder de naam 'Keydnap' en komt binnen in de vorm van een zipbestand, vermoedelijk als bijlage van een spam-e-mail, zo schrijft ESET. In dat archief bevinden zich twee bestanden, een txt- en een jpeg-bestand. In werkelijkheid zijn het echter uitvoerbare Mach object-bestanden, die het systeem daarom opent in de terminal.
De malware is in staat dit te doen doordat er een spatie aan het einde van de bestandsextensie is toegevoegd, zo leggen de onderzoekers uit. Daarnaast bevat het ziparchief een zogenaamde resource fork, waarmee het zich voordoet als tekstbestand of afbeelding door de corresponderende OS X-iconen te tonen. Opent de gebruiker een van de bestanden, dan wordt de malware uitgevoerd. Er wordt dan wel een waarschuwing door de Gatekeeper-beveiliging getoond, omdat de software niet ondertekend is.
De gebruiker moet deze waarschuwing negeren om geïnfecteerd te raken. Als dit gebeurt dan downloadt de malware de backdoor en vervangt hij de downloader zelf met een nepbestand. Deze bestanden tonen onder andere screenshots van besturingspanelen van command-and-control-servers van botnets, waardoor ESET aanneemt dat de malware is gericht op leden van de onderwereld of op beveiligingsonderzoekers. De malware communiceert vervolgens met een cnc-server op een tor-adres en stelt een aanvaller bijvoorbeeld in staat om op afstand een bestand van een url te downloaden en uit te voeren.
Ook kan de malware rootrechten verkrijgen via een venster waarin de software de gebruiker vraagt zijn wachtwoord in te vullen. Dit wordt alleen getoond als twee processen kort achter elkaar aangemaakt worden. De code die voor het stelen van wachtwoorden uit de Keychain-wachtwoordmanager verantwoordelijk is, lijkt direct afkomstig te zijn uit een GitHub-project met de naam 'Keychaindump', zo vullen de onderzoekers aan.
Eerder deze week vonden onderzoekers van beveiligingsbedrijf Bitdefender een andere OS X-backdoor met de naam 'Backdoor.MAC.Eleanor'. Deze is aanwezig in software die zich voordoet als een conversieprogramma met de naam EasyDoc Converter. Deze malware is onder andere in staat om beeld op te nemen met ingebouwde webcams op geïnfecteerde systemen.