Author: Jeanne Jocson   
 

OSX/Keydnap.A (NOD32), Backdoor:MacOS_X/Keydnap.A (Microsoft)

 PLATFORM:

Mac OS X

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Backdoor

  • Destructiveness:
    No

  • Encrypted:
    Yes

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Descargado de Internet, Eliminado por otro tipo de malware

Puede haberlo infiltrado otro malware.

Roba determinada información del sistema y/o del usuario.

  TECHNICAL DETAILS

File size: 3,035,136 bytes
File type: Mach-O
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 15 września 2016
PAYLOAD: Steals information, Compromises system security

Detalles de entrada

Puede haberlo infiltrado el malware siguiente:

  • OSX_DROPPER.A

Instalación

Agrega los procesos siguientes:

  • icloudproc
  • License.rtf
  • icloudsyncd
  • /usr/libexec/icloudsyncd -launchd netlogon.bundle

Rutina de infiltración

Infiltra los archivos siguientes:

  • /Applications/Transmission.app/Contents/Resources/License.rtf
  • /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
  • $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
  • $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
  • $HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
  • /Library/Application Support/com.apple.iCloud.sync.daemon/
  • $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist

Robo de información

Roba la siguiente información:

  • Keychain credentials

  SOLUTION

Minimum scan engine: 9.800
First VSAPI Pattern File: 12.778.06
First VSAPI Pattern Release Date: 15 września 2016
VSAPI OPR PATTERN-VERSION: 12.779.00
VSAPI OPR PATTERN DATE: 16 września 2016
Did this description help? Tell us how we did.