Nieuwe Keydnap-malware steelt data uit Apple’s Sleutelhanger

Onderzoekers hebben nieuwe Mac-malware gevonden, die data uit de Sleutelhanger (Keychain) steelt. Het gaat om Keydnap en het is iets anders dan de Backdoor.MAC.Eleanor malware, waar we gisteren over schreven.

Keydnap-malware

De nieuwe Keydnap-malware werd ontdekt door onderzoekers van beveiligingsbedrijf ESET. De software creëert een backdoor op je Mac. Er is nog niet met zekerheid vastgesteld hoe de malware zich verspreidt en hoeveel mensen zijn getroffen. Wel is bekend dat het meestal binnenkomt als zipbestand, bijvoorbeeld als bijlage van een spambericht. In het zip-bestand bevinden zich op het eerste gezicht een txt- en jpeg-bestand, met bijbehorende iconen. Maar in werkelijkheid blijkt het om uitvoerbare Mach object-bestanden te gaan, waarbij aan het einde een extra spatie is toegevoegd. Het systeem opent ze in de Terminal.

Apple’s Gatekeeper geeft een waarschuwing als je de malware probeert te openen, omdat de software niet is gesigneerd met een Apple Developer ID. Negeer je deze waarschuwing, dan kun je besmet raken. Voor gewone gebruikers die zorgvuldig met meldingen omgaan, is er dan ook geen gevaar.

Op Macs die besmet zijn wordt een backdoor gedownload, waarna er contact wordt gelegd met een Command-and-Control-server van een botnet. De aanvaller kan daarna bijvoorbeeld op afstand een bestand via een URL downloaden en uitvoeren. Ook kan de malware rootrechten krijgen via een venster, waarin de gebruiker zijn wachtwoord moet invullen. ESET vermoedt dat de malware is gericht op beveiligingsonderzoekers of mensen uit de onderwereld. De code voor het stelen van wachtwoorden uit de Keychain-wachtwoordmanager lijkt afkomstig van een GitHub-project met de naam Keychaindump.

Tipgever: Sander