OSX_MOKES.A
MacOS:Ekoms-A [Trj] (Avast), OSX/Mokes.A (AVG), OSX/Mokes.odci (Avira), Backdoor.MAC.Mokes.A (BitDefender), OSX/Mokes.A (NOD32), Backdoor.MAC.Mokes.A (F-Secure), HEUR:Backdoor.OSX.Mokes.a (Kaspersky), OSX/Mokes-A (Sophos), Backdoor.Mokes (Symantec)
Mac OS X
Tipo de malware
Backdoor
Destructivo?
No
Cifrado
No
In the Wild:
Sí
Resumen y descripción
Para obtener una visión integral del comportamiento de este Backdoor, consulte el diagrama de amenazas que se muestra a continuación.
Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.
Detalles técnicos
Técnica de inicio automático
Infiltra los archivos siguientes:
- /Users/{Username}/Library/LaunchAgents/{Dropped Copy filename}.plist
Rutina de puerta trasera
Ejecuta los comandos siguientes desde un usuario remoto malicioso:
- Record Audio every 30 seconds
- Monitor Removable Drives
- Take screenshots and images from installed camera
- Search and Download MS Office documents (doc, docx, xls, xlsx)
Rutina de infiltración
Este malware infiltra el/los siguiente(s) archivo(s), en el cual/los cuales guarda la información recopilada:
- $TMPDIR/ss0-{Date}-{Time}-{ms}.sst (Captured Screenshots)
- $TMPDIR/aa0-{Date}-{Time}-{ms}.aat (Captured Audio, WAV)
- $TMPDIR/kk0-{Date}-{Time}-{ms}.kkt (Keylogs)
- $TMPDIR/dd0-{Date}-{Time}-{ms}.ddt (Arbitrary Data)