Hace poco tiempo nos llegó para su análisis un interesante fichero (MD5
9283c61f8cce4258c8111aaf098d21ee),
que resultó ser un programa malicioso multimodular para MacOS X. Ya
desde los resultados del estudio preliminar quedó claro que no hacía
nada bueno: un fichero mach de 64 bits común y corriente contenía en su
sección de datos muchos otros ficheros mach, uno de los cuales se
instalaba en el sector de ejecución automática, como es típico de los
troyanos-droppers.
La investigación posterior mostró que dentro del programa malicioso se
escondían un backdoor, un keylogger y un troyano-espía. Y lo más
interesante es que el keylogger usaba una extensión del núcleo (kext)
con código fuente abierto, que está a la disposición de todos, por
ejemplo, en GitHub.
Nada más ejecutarse, el dropper comprueba que tiene privilegios de superusuario mediante la función
geteuid(). Del resultado de la prueba dependerá dónde se instalarán los ficheros del
troyano:
- Si tiene privilegios de superusuario, los ficheros se instalan en /Library/.local y /Library/LaunchDaemons;
- Si no los tiene, los ficheros se instalan en ~/Library/.local y ~/Library/LaunchAgents (el carácter “~” representa la ruta a la carpeta del usuario activo).
Contenido completo en fuente original Viruslist
