OSX_SLORDU.A
OSX.Slordu (Symantec), Backdoor.OSX.Belfibod.a (Kaspersky), OSX/Slordu-A (Sophos), OSX/Stealer.B (AVG), OSX/XSLCmd.A (ESET)
Mac OS X
Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
Yes
In the wild::
Yes
OVERVIEW
Para obtener una visión integral del comportamiento de este Backdoor, consulte el diagrama de amenazas que se muestra a continuación.
Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.
Registra las pulsaciones de teclas de un usuario para robar información.
TECHNICAL DETAILS
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- /Library/Logs/clipboardd
- $HOME/Library/LaunchAgents/clipboardd
Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):
- $HOME/.fontset/pxupdate.ini
- $HOME/.fontset/chkdiska.dat
- $HOME/.fontset/chkdiskc.dat
Crea las carpetas siguientes:
- $HOME/.fontset
- $HOME/Library/Logs/BackupData
Finaliza la ejecución de la copia que ejecutó inicialmente y ejecuta en su lugar la copia que ha creado.
Técnica de inicio automático
Infiltra los archivos siguientes:
- /Library/LaunchAgents/com.apple.service.clipboardd.plist
- $HOME/Library/LaunchAgents/com.apple.service.clipboardd.plist
Rutina de puerta trasera
Ejecuta los comandos siguientes desde un usuario remoto malicioso:
- Upload a file to the C&C server
- Download a file
- Start a remote shell
- Enumerate the contents of a directory
- Delete a file
- Uninstall itself
- Capture screenshot
- Get the following information:
- OS name
- OS version
- Host name
- User name
- Home directory
- Contents of the /Applications folder
- Update configuration file
Rutina de infiltración
Este malware infiltra el/los siguiente(s) archivo(s), que utiliza para su rutina de captura de teclado:
- $HOME/Library/Logs/BackupData/{year}{month}{day}_{hour}{minute}_{second}_keys.log
Robo de información
Registra las pulsaciones de teclas de un usuario para robar información.