Mac用户新威胁－恶意木马程序 Keydnap，窃取用户信息

xman

Keydnap窃取用户账户信息
近日，Bitdefender安全研究人员发现了针对Mac系统使用Tor打开后门程序的Eleanor 木马，ESET也揭露了一个通过Tor2Web服务器来窃取用户账户密码的类似后门的特洛伊木马程序-Keydnap。

Keydnap，这款针对Mac用户的新木马程序，首次发现是在今年5月份为1.3.1的版本，第二次是在6月份更新为1.3.5的版本。它的操作方法很简单，虽然感染链很长，但仅需几步即可完成。

常见方式: Keydnap常伪装成图片或者文本文件
当用户收到一封包含压缩文件的邮件时，解压文件初看是一个图片或者文本文件，实际上在文件的扩展名后有一个空格隐藏着，而该文件是一个使用了假图标的Mach-O可执行文件，由于Mac OS 默认这种文件为终端执行文件，这意味着在双击打开图片或文档的同时，恶意程序也在终端环境下被运行。

这种恶意程序的一系列操作都在控制台里运行。该文件先下载另一个组件，实际上是Keydnap后门程序。然后执行后门程序，并作为LaunchAgent安装来获得持续启动，然后伪装成图片或者文件下载下来并显示给用户。

在此之后，这种恶意行为移动到在当前用户下运行的Keydnap上，而且还试图通过弹窗请求用户凭证来获取root权限。

Keydnap似乎针对的是安全研究人员
ESET发现Keydnap使用一个名为Keychaindump的GitHub项目的代码来转储Mac密码管理系统内容。它通过Tor2Web 的HTTPS 隐秘网关onion.to 与远程C&C服务器进行通信，并用于不同样本中的两个onion地址。ESET表示基于诱饵图片木马显示给用户的是在感染的早期阶段。

最近发现的诱饵样本文件也是各种截图文件，如僵尸网络的管理界面和信用卡号码的数据信息等，这些诱饵图片只有信息安全专业人士才会感兴趣。这说明了Keydnap 针对的攻击目标可能是一些安全研究人员。

诱饵文件1

诱饵文件2

除了从被感染的Mac机上窃取密码之外，Keydnap还可以从远程URL下载和执行文件，如下载和执行Python脚本，执行shell命令，报告结果，并更新后门程序版本。

但有一些地方令安全研究人员感到困惑，一是目前不知道Keydnap是如何分布的，二是不知道究竟有多少受害者。尽管有多重安全机制在OS X上来减轻恶意软件，它可能欺骗用户通过更换Mach-O文件的图标来执行non-sandboxed的恶意代码。