El medio de seguridad digital, We Live Security, reveló hoy jueves que existe otro malware capaz de dañar las claves del ‘Keychain’ de Mac y enviarlas a la red Tor, a menos de un día de que se revelara otro troyano similar en Mac, según informó The Register. El ‘Keychain’ de Mac es el software en Mac que administra las contraseñas del equipo, así que este malware va en busca de credenciales.
El malware fue bautizado como Dubbed Keydnap. ‘Kidnap’ significa secuestro en inglés, y el nombre se refiere a que el malware secuestra el ‘Keychain’ del Mac. Keydnap distribuye como un archivo comprimido .zip con una extensión .txt o .jpg, con un caracter de espacio oculto que causa la activación del mismo en la terminal mac OS.
Luego de que se hace doble clic en el archivo, el ícono de la Terminal aparece en el escritorio y se cierra enseguida. En ese punto, el ‘Gatekeeper’ se activa, y si no se han cambiado las configuraciones, por defecto los Mac evitan que se ejecuten programan provenientes de desarrolladores desconocidos. Entonces al dar doble clic, el equipo avisa que se trata de un desarrollador desconocido y evita la descarga.
Sin embargo, si se ajustaron sus configuraciones de instalaciones para permitir todas las descargas sin importar de donde vengan, el malware de descarga y comienza a ejecutarse como un componente de ‘puerta trasera’.
El investigador de seguridad digital de ESET, Marc-Eteinne M. Leveille explicó en un análisis que el autor de este malware dañó la funcionalidad de Keychain con una plataforma en Github, que el desarrollador Juuso Salonen construyó en 2012. Keydnap “está equipado con un mecanismo que recoleta y filtra contraseñas y claves almacenadas en el ‘Keychain’ de OS X”, explicó M. Leveille.
Luego de que se le da acceso a Keydnap, quienes controlan el servidor pueden descifrar la clave para el ‘Keychain’ del usuario y robarse todas las contraseñas almacenadas. Las claves guardadas en el ‘Keychain’ incluyen contraseñas del sistema, como credenciales de ingreso para servicios en internet, como el ingreso al banco, cuentas de Gmail, el login de Amazon, entre otros, explicó AppleInsider.
El experto cree que aún faltan piezas perdidas en este caso, porque hasta este punto no se sabe cuántas víctimas han tomado este malware, y tampoco el método de envío, ya sea ‘phishing’ o ‘drive-by-download’.
Para ayudarle al ‘Gatekeeper’ a proteger el equipo, se puede usar una aplicación de monitoreo en línea como ‘Little Snitch’ para examinar todas las transmisiones entrantes y salientes por Internet, y para bloquear las no deseadas, como la descargar del componente de este malware.
Imagen: CyberHades (vía Flickr).
Es importante para todo el que tenga un Mac, permitir solo descargas de la «Mac App Store y de desarrolladores identificados», esto se ajusta en : Preferencias del sistema > Seguridad y Privacidad > General > Permitir aplicaciones descargadas de.. Con esto se evita la gran mayoría de Malware que están circulando en la red y como siempre: no abra todo lo que le llega por Internet.