El troyano Ventir para OS X y el keylogger LogKext

A través de Intego hemos conocido la existencia de un nuevo troyano para sistemas OS X al que se ha llamado Ventir. Este troyano es un software malicioso que se distribuye dentro de algún otro software - no se conoce exactamente su vector de infección en cada caso - pero que tiene una estructura modular para poder cargar a gusto las opciones de cada una de las infecciones que se realizan con él. Una vez que un sistema OS X es infectado, los directorios de instalación dependerán de los permisos con que cuente el troyano. Si se tiene acceso de administrador (root) entonces el malware se instala en /Library/.local y en /Library/LaunchDaemons y comienza a descargar el resto de componentes en ellos.

Si por el contrario no tiene acceso como administrador (root), entonces los ficheros se cargan en el perfil del usuario, en las rutas ~/Library/.local y ~/Library/LaunchAgents.

Figura 1: Artículo sobre Ventir Trojan en Intego

Entre los módulos que lleva, uno de ellos es el keylogger Open Source para sistemas OS X conocido como LogKext. Este software, que está disponible en múltiples repositorios de Internet, se puede conseguir y utilizar en cualquier otro programa malicioso y cuando infecta una máquina captura todas las pulsaciones de teclado que se realizan, dejándolas en un fichero de texto que luego el troyano Ventir se llevará.

Figura 2: Información sobre logKext

Para saber si se está infectado deberías revisar la existencia de esos directorios, teniendo en cuenta que hay que mostrar los archivos ocultos, por lo que es más sencillo usando un terminal y haciendo un ls -al en los directorios Library. Si existe el directorio .local, entonces el keylogger LogKext tendrá sus propio archivo en /System/Library/Extensions/updated.kext. Además, deberás comprobar la lista de agentes en el fichero .plist com.updated.launchagent.plist en /Library/LaunchDaemon/ o en ~/Library/LaunchAgents/ que tendrá alguna referencia a la carga del troyano desde .local, tal y como explican en Intego.

Figura 3: Fichero de carga de agentes con acceso al troyano

Por supuesto, ya hace mucho tiempo que el malware está en los sistemas OS X, así que toma todas las precauciones posibles. Mantén tu sistema operativo actualizado, protegido con un antimalware con protección en tiempo real y fortificado para evitar que sea fácil quedarse infectado.