Cercetătorii ESET au analizat OSX/Keydnap, un Troian care fură parolele și cheile de pe keychain-ul OS X, creând un backdoor permanent. Deși nu este încă foarte clar mecanismul inițial de infectare, se presupune că malware-ul se răspândește prin atașamente la mesajele spam, descărcări de pe site-uri compromise sau prin alți vectori de infectare.
Downloader-ul Keydnap este distribuit sub forma fișierelor .zip ce conțin executabile care imită pictograma Finder ce este folosită de obicei pentru fișierele JPEG sau text. Acest aspect crește probabilitatea ca utilizatorul să dea dublu-clic pe fișier. Odată început procesul, o fereastră Terminal se deschide, iar sarcina malițioasă este executată.
În acest punct backdoor-ul este configurat, iar secvența malware începe să colecteze și să extragă informațiile de bază despre Mac-ul pe care rulează. La cererea serverului C&C, Keydnap poate solicita privilegii administrative prin deschiderea unei ferestre obișnuite pe care OS X o folosește în acel scop. Dacă victima introduce datele de autentificare, backdoor-ul va rula atunci ca root, având conținutul keychain al victimei extras.
“În timp ce există mai multe mecanisme de securitate în vigoare integrate în OS X pentru a combate atacurile malware, după cum observăm în această situație, este posibil ca utilizatorul să fie indus în eroare pentru a executa codul rău intenționat, într-o secvență non-sandboxed. Toți utilizatorii OS X ar trebui să rămână vigilenți, în vreme ce noi încă nu știm cum este distribuit Keydnap și nici câte victime există”, spune Marc-Etienne M. Leveille, Cercetător Malware la ESET.