Модульный троян для OS X содержит open source кейлоггер

На прошлой неделе специалисты «Лаборатории Касперского» рассказали об интересном новом зловреде, образец которого попал на экспертизу. Это модульный троян Ventir для Mac OS X. Он может поставляться с разным набором модулей, среди которых open source кейлоггер LogKext.

Использование общедоступных компонентов с открытыми исходниками — довольно необычное поведение для вредоносных программ. Обычно вирусописатели стараются написать всё самостоятельно, но зачем, если существуют готовые модули, подходящие по функциональности?

Кейлоггер LogKext — вполне легитимная программа, которая размещается на Github. Правда, некоторое время назад автор забросил разработку, но эту задачу взял на себя другой мейнтейнер, он вскоре обновил кейлоггер для совместимости с OS X Mavericks (10.9).

Михаил Кузин из «Лаборатории Касперского» пишет, что архив kext.tar загружается на заражённый компьютер, если дропперу Trojan-Dropper.OSX.Ventir удалось получить права суперпользователя.

«В архиве находятся три файла:
  • updated.kext
  • EventMonitor
  • Keymap.plist

Программный пакет updated.kext является расширением ядра (kext) с открытым исходным кодом и предназначен для перехвата нажатий клавиш. Это расширение уже давно детектируется нами как not-a-virus:Monitor.OSX.LogKext.c, а его исходный код (как уже было сказано ранее) в данный момент доступен любому желающему.

Файл Keymap.plist — это карта соответствия кодов нажатых клавиш их значениям. Файл EventMonitor использует ее для определения значения клавиш по соответствующим кодам, передаваемых ему файлом updated.kext.

Файл EventMonitor — файл-агент, который принимает данные от расширения ядра updated.kext, обрабатывает их и заносит в лог-файл /Library/.local/.logfile. Вот, например, часть такого лога, содержащая перехваченный трояном логин и пароль:

Как видно из скриншота, как только жертва заходит в браузере на сайт yandex.ru и вводит там логин и пароль от почтового аккаунта, эти данные тут же попадают в лог, а оттуда — в руки злоумышленников».

Кроме кейлоггера, троян-дроппер Ventir может скачивать другие модули: это бэкдор (Backdoor.OSX.Ventir.a) и троян-шпион (Trojan-Spy.OSX.Ventir.a). Последний загружается в систему, если дропперу не удалось получить права суперпользователя.

По словам Михаила Кузина, своей многомодульной структурой Ventir напоминает небезызвестный Morcut (он же OSX/Crisis), где было примерно такое же количество модулей с похожим назначением. Использование программного обеспечения с открытым исходным кодом существенно упрощает злоумышленникам задачу конструирования новых зловредов.

Анатолий Ализар: Бывший автор новостной ленты «Хакера». Увлекается современными технологиями, оружием, информационной безопасностью, носимой электроникой и в целом концепцией Internet of Things.

Комментарии (4)

  • Касперыч все не успокоится. Почему в статье нет ссылки на антивирь и слов: "Наш антивирус уже умеет обнаруживать и удалят данный вид троянов"?

    • Касперыч старый Elite Keylogger не палит, куда уж ему куда. :)

  • "если дропперу Trojan-Dropper.OSX.Ventir удалось получить права суперпользователя"

    хм, в макосе обычно доступ рут вообще выключен по умолчанию. значит ли это что зловред мне не страшен, если я вручную не включал возможность рут доступа, что возможно, или отключенный рут это не преграда?

Похожие материалы