Author: Christopher Daniel So   

 

OSX.Slordu (Symantec), Backdoor.OSX.Belfibod.a (Kaspersky), OSX/Slordu-A (Sophos), OSX/Stealer.B (AVG), OSX/XSLCmd.A (ESET)

 PLATFORM:

Mac OS X

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Backdoor

  • Destructiveness:
    No

  • Encrypted:
    Yes

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Descargado de Internet, Eliminado por otro tipo de malware

Para obtener una visión integral del comportamiento de este Backdoor, consulte el diagrama de amenazas que se muestra a continuación.

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.

Registra las pulsaciones de teclas de un usuario para robar información.

  TECHNICAL DETAILS

File size: 345,360 bytes
File type: Mach-O
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 08 de września de 2014
PAYLOAD: Compromises system security, Drops files, Steals information

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • /Library/Logs/clipboardd
  • $HOME/Library/LaunchAgents/clipboardd

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

  • $HOME/.fontset/pxupdate.ini
  • $HOME/.fontset/chkdiska.dat
  • $HOME/.fontset/chkdiskc.dat

Crea las carpetas siguientes:

  • $HOME/.fontset
  • $HOME/Library/Logs/BackupData

Finaliza la ejecución de la copia que ejecutó inicialmente y ejecuta en su lugar la copia que ha creado.

Técnica de inicio automático

Infiltra los archivos siguientes:

  • /Library/LaunchAgents/com.apple.service.clipboardd.plist
  • $HOME/Library/LaunchAgents/com.apple.service.clipboardd.plist

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

  • Upload a file to the C&C server
  • Download a file
  • Start a remote shell
  • Enumerate the contents of a directory
  • Delete a file
  • Uninstall itself
  • Capture screenshot
  • Get the following information:
    • OS name
    • OS version
    • Host name
    • User name
    • Home directory
    • Contents of the /Applications folder
  • Update configuration file

Rutina de infiltración

Este malware infiltra el/los siguiente(s) archivo(s), que utiliza para su rutina de captura de teclado:

  • $HOME/Library/Logs/BackupData/{year}{month}{day}_{hour}{minute}_{second}_keys.log

Robo de información

Registra las pulsaciones de teclas de un usuario para robar información.

  SOLUTION

Minimum scan engine: 9.700
First VSAPI Pattern File: 11.136.07
First VSAPI Pattern Release Date: 09 de września de 2014
VSAPI OPR PATTERN-VERSION: 11.137.00
VSAPI OPR PATTERN DATE: 09 de września de 2014
Did this description help? Tell us how we did.