Хакер #311. Сетевые протоколы под микроскопом
На прошлой неделе специалисты «Лаборатории Касперского» рассказали об интересном новом зловреде, образец которого попал на экспертизу. Это модульный троян Ventir для Mac OS X. Он может поставляться с разным набором модулей, среди которых open source кейлоггер LogKext.
Использование общедоступных компонентов с открытыми исходниками — довольно необычное поведение для вредоносных программ. Обычно вирусописатели стараются написать всё самостоятельно, но зачем, если существуют готовые модули, подходящие по функциональности?
Кейлоггер LogKext — вполне легитимная программа, которая размещается на Github. Правда, некоторое время назад автор забросил разработку, но эту задачу взял на себя другой мейнтейнер, он вскоре обновил кейлоггер для совместимости с OS X Mavericks (10.9).
Михаил Кузин из «Лаборатории Касперского» пишет, что архив kext.tar загружается на заражённый компьютер, если дропперу Trojan-Dropper.OSX.Ventir удалось получить права суперпользователя.
- updated.kext
- EventMonitor
- Keymap.plist
Программный пакет updated.kext является расширением ядра (kext) с открытым исходным кодом и предназначен для перехвата нажатий клавиш. Это расширение уже давно детектируется нами как not-a-virus:Monitor.OSX.LogKext.c, а его исходный код (как уже было сказано ранее) в данный момент доступен любому желающему.
Файл Keymap.plist — это карта соответствия кодов нажатых клавиш их значениям. Файл EventMonitor использует ее для определения значения клавиш по соответствующим кодам, передаваемых ему файлом updated.kext.
Файл EventMonitor — файл-агент, который принимает данные от расширения ядра updated.kext, обрабатывает их и заносит в лог-файл /Library/.local/.logfile. Вот, например, часть такого лога, содержащая перехваченный трояном логин и пароль:
Как видно из скриншота, как только жертва заходит в браузере на сайт yandex.ru и вводит там логин и пароль от почтового аккаунта, эти данные тут же попадают в лог, а оттуда — в руки злоумышленников».
Кроме кейлоггера, троян-дроппер Ventir может скачивать другие модули: это бэкдор (Backdoor.OSX.Ventir.a) и троян-шпион (Trojan-Spy.OSX.Ventir.a). Последний загружается в систему, если дропперу не удалось получить права суперпользователя.
По словам Михаила Кузина, своей многомодульной структурой Ventir напоминает небезызвестный Morcut (он же OSX/Crisis), где было примерно такое же количество модулей с похожим назначением. Использование программного обеспечения с открытым исходным кодом существенно упрощает злоумышленникам задачу конструирования новых зловредов.
