OSX/Keydnap malware krade podatke iz keychain dela
Napasti i zgadije nikad dosta - bar za neke ljude a ljudska glupost je skoro bezgranicna.
Jos jedna napast pokusava da iskoristi pristup poverljivim podacima zahvaljujuci naivnosti korisnika i nepodesavanjem Gatekeeper-a prema default-u.
Backdoor malware OSX/Keydnap se prosledjuje u vidu ZIP arhive u kojoj je lazni tekst fajl ili jpg fajl.
Ekstenzija fajla ima na kraju "razmak" (Mach-O executable file) koji se po default-u pokrece preko Terminala.
ZIP arhiva sadrzi Resource fork koja sadrzi ikonicu executable fajla (kao .txt ili .jpg fajl) i na taj nacin povecava verovatnocu da ga pokrenete posto deluje "vrlo upadljivo" u Finder-u.
http://www.welivesecurity.com/wp-con...ed_600.m4v?_=1
Posle dvoklika na fajl, vrlo kratko se pojavljuje ikonica Terminala u dock-u. U ovom trenutku, ako je Gatekeeper aktivan, dobijate upozorenje da je fajl od strane unidentified developer-a i prakticno je onemoguceno njegovo pokretanje.
Ako je Gatekeeper podesen tako da omogucava instaliranje i fajlova nezavisno od njihovog "izvora", pokrece se i download-uje malware koji se pokrece sa svakim podizanjem sistema.
Nakon toga se zamenjuje Mach-O file (koji sad ostaje prisutan samo u ZIP arhivi) i otvara se slika u Preview-u (postoje razlicite varijante).
Malware ce traziti root pristup i ceka pokretanje neke aplikacije nakon cega dobijate zahtev da unesete "sifru" (user credentials).
Nakon ovoga, prakticno, omogucen je pristup svim siframa koje se nalaze u Keychain-u.
Svi primeri/verzije ovog backdoor malware-a imaju icloudsyncd filename koji se nalazi u Library/Application Support/com.apple.iCloud.sync.daemon direktorijumu.
Vise o svemu mozete da procitate na
http://www.welivesecurity.com/2016/0...y-credentials/
"We're going to make some history today" 
Reply With Quote
