OSX/Keydnap el nuevo malware de Mac que roba contraseñas
Se ha descubierto un nuevo malware para Mac en esta semana, uno que podría exponer las contraseñas almacenadas en el llavero de macOS. Pero una vez más, con la seguridad que brinda Gatekeeper de Apple , se bloqueará el ataque de manera exitosa. La firma de seguridad ESET han estado examinando este nuevo malware de OS X de origen desconocido y lo llamó «OSX/Keydnap».
El malware se distribuye como un archivo comprimido .zip, que contiene el código malicioso disfrazado como un archivo de texto o una imagen .jpg con el acompañamiento de un icono. Sin embargo, el nombre del archivo tiene un espacio al inicio, que por defecto, abre el ejecutable Mach-o en la terminal de macOS .
Después de un doble clic sobre el archivo, el icono de Terminal aparece en el dock y rápidamente se cierra. En este punto, si la utilidad Gatekeeper está activa, el mecanismo de seguridad muestra un aviso al usuario, diciendo que el archivo es de un desarrollador no identificado y de forma automática detiene el lanzamiento del archivo malicioso.
En el caso de que no se tenga correctamente configurado Gatekeeper, el malware buscará acceso root y espera hasta que se inicie otra aplicación para que luego aparezca un cuadro de diálogo pidiendo las credenciales de usuario.
Después de haber concedido el acceso root, el malware OSX/Keydnap puede ser utilizado por medio de un servidor remoto para tomar la clave de descifrado del llavero del usuario y subir las contraseñas almacenadas. El llavero guarda diversas contraseñas del sistema, tales como información de inicio de sesión para servicios basados en Internet, credenciales bancarias, contraseñas de Gmail, información de inicio de sesión de Amazon y otros.
Para complementar a Gatekeeper, una aplicación como Little Snitch para el control de las conexiones entrantes y salientes de Internet puede utilizarse para examinar las transmisiones y bloquear las que sean indeseables.
OSX/Keydnap es el segundo malware para Mac que se revela en una semana. Primero fue encontrado Backdoor.Mac.Eleanor en el día de ayer incluido en un convertidor falso de archivos.