Actu
ESET découvre une Backdoor destinée à voler les identifiants sur Mac OS X
juillet 2016 par ESET
Le malware Keydnap exfiltre les mots de passe et les clés stockés dans le gestionnaire de mots de passe « KeyChain » de Mac OS X et crée une porte dérobée permanente.
Les chercheurs ESET se sont penchés sur OSX/Keydnap, un cheval de Troie qui vole les clés et les mots de passe stockés dans le gestionnaire de mots de passe « keychain », en créant une porte dérobée permanente. Bien que la façon dont les victimes se trouvent exposées à cette menace ne soit pas très clair, nous pensons qu’elle pourrait se propager via des pièces jointes contenues dans les spams, des téléchargements à partir de sites non sécurisés ou d’autres vecteurs.
Le code malveillant Keydnap est distribué sous forme de fichier .zip avec le fichier exécutable imitant l’icône Finder habituellement appliqué aux fichiers texte ou JPEG. Cela augmente la probabilité que le destinataire double-clique sur le fichier. Une fois démarré, une fenêtre de terminal s’ouvre et la charge utile malveillante est exécutée.
À ce stade, la porte dérobée est configurée et le malware débute la collecte et l’exfiltration des informations de base figurant sur la machine Mac attaquée. À la demande de son serveur C&C, Keydnap peut obtenir les privilèges administratifs en ouvrant la fenêtre dédiée d’OS X. Si la victime saisit ses identifiants, la porte dérobée fonctionne alors comme un root, avec le contenu exfiltré du porte-clés de la victime.
"Bien qu’il existe des mécanismes de sécurité multiples en place au sein d’OS X pour réduire l’impact des logiciels malveillants, il est possible de tromper l’utilisateur. Tous les utilisateurs d’OS X doivent rester vigilants car nous ne savons toujours pas comment Keydnap est distribué, ni combien de victimes ont été touchées », rapporte Marc-Etienne Léveillé, Malware Researcher chez ESET.
