Análisis realizado por : Christopher Daniel So   

 Alias

OSX.Slordu (Symantec), Backdoor.OSX.Belfibod.a (Kaspersky), OSX/Slordu-A (Sophos), OSX/Stealer.B (AVG), OSX/XSLCmd.A (ESET)

 Plataforma:

Mac OS X

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
 Revelación de la información:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Backdoor

  • Destructivo?
    No

  • Cifrado

  • In the Wild:

  Resumen y descripción

Canal de infección Descargado de Internet, Eliminado por otro tipo de malware

Para obtener una visión integral del comportamiento de este Backdoor, consulte el diagrama de amenazas que se muestra a continuación.

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.

Registra las pulsaciones de teclas de un usuario para robar información.

  Detalles técnicos

Tamaño del archivo 345,360 bytes
Tipo de archivo Mach-O
Residente en memoria
Fecha de recepción de las muestras iniciales 08 de septiembre de 2014
Carga útil Compromises system security, Drops files, Steals information

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • /Library/Logs/clipboardd
  • $HOME/Library/LaunchAgents/clipboardd

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

  • $HOME/.fontset/pxupdate.ini
  • $HOME/.fontset/chkdiska.dat
  • $HOME/.fontset/chkdiskc.dat

Crea las carpetas siguientes:

  • $HOME/.fontset
  • $HOME/Library/Logs/BackupData

Finaliza la ejecución de la copia que ejecutó inicialmente y ejecuta en su lugar la copia que ha creado.

Técnica de inicio automático

Infiltra los archivos siguientes:

  • /Library/LaunchAgents/com.apple.service.clipboardd.plist
  • $HOME/Library/LaunchAgents/com.apple.service.clipboardd.plist

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

  • Upload a file to the C&C server
  • Download a file
  • Start a remote shell
  • Enumerate the contents of a directory
  • Delete a file
  • Uninstall itself
  • Capture screenshot
  • Get the following information:
    • OS name
    • OS version
    • Host name
    • User name
    • Home directory
    • Contents of the /Applications folder
  • Update configuration file

Rutina de infiltración

Este malware infiltra el/los siguiente(s) archivo(s), que utiliza para su rutina de captura de teclado:

  • $HOME/Library/Logs/BackupData/{year}{month}{day}_{hour}{minute}_{second}_keys.log

Robo de información

Registra las pulsaciones de teclas de un usuario para robar información.

  Soluciones

Motor de exploración mínimo 9.700
Primer archivo de patrones de VSAPI 11.136.07
Primera fecha de publicación de patrones de VSAPI 09 de septiembre de 2014
Versión de patrones OPR de VSAPI 11.137.00
Fecha de publicación de patrones OPR de VSAPI 09 de septiembre de 2014
Rellene nuestra encuesta!