Keydnap sottrae le password del Portachiavi di OS X, creando una backdoor che rimane costantemente in funzione nel sistema.

TRITON

I ricercatori ESET stanno analizzandoOS X/Keydnap, un Trojan che sottrae le password dal sistema di gestione delle chiavi presente in OS X, creando una backdoor che rimane costantemente attiva. Anche se non è ancora chiaro come le vittime vengano colpite, si suppone che il malware si diffonda attraverso allegati alle email di spam, tramite download da siti web non affidabili o altri vettori. 

Il downloader del Keydnap è un archivio .zip che contiene un file eseguibile che il Finder di OS X visualizza con l’icona tipica dei file JPEG o di quelli di testo, aumentando la possibilità che la vittima venga ingannata e indotta a cliccare sul file. Quando si avvia, viene aperta una finestra Terminal ed eseguita la pericolosa routine di infezione.

A questo punto viene installata la backdoor e il malware inizia a raccogliere e sottrarre le informazioni di base sul sistema Mac su cui è in funzione. Su richiesta del suo server di comando e controllo, Keydnap può chiedere i privilegi di amministratore aprendo la classica finestra OS X solitamente usata in questi casi. Se la vittima immette le proprie credenziali, la backdoor si eseguirà con privilegi root e inizierà a sottrarre il contenuto del sistema di gestione chiavi di OS X.
Secondo gli esperti di ESET, anche se ci sono molti meccanismi di sicurezza in uso su OS X per ridurre le problematiche malware, in questo caso è facile ingannare l’utente e spingerlo a eseguire dei codici pericolosi al di fuori di un ambiente di sandbox, quindi sicuro. Tutti gli utenti OS X dovrebbero stare in guardia considerando che ancora non è chiaro come si diffonda il Keydnap o quante vittime abbia già infettato.