Troyano Ventir: arma tu propio espía para MacOS

Hace poco tiempo nos llegó para su análisis un interesante fichero (MD5 9283c61f8cce4258c8111aaf098d21ee), que resultó ser un programa malicioso multimodular para MacOS X. Ya desde los resultados del estudio preliminar quedó claro que no hacía nada bueno: un fichero mach de 64 bits común y corriente contenía en su sección de datos muchos otros ficheros mach, uno de los cuales se instalaba en el sector de ejecución automática, como es típico de los troyanos-droppers.

La investigación posterior mostró que dentro del programa malicioso se escondían un backdoor, un keylogger y un troyano-espía. Y lo más interesante es que el keylogger usaba una extensión del núcleo (kext) con código fuente abierto, que está a la disposición de todos, por ejemplo, en GitHub.

Nada más ejecutarse, el dropper comprueba que tiene privilegios de superusuario mediante la función geteuid(). Del resultado de la prueba dependerá dónde se instalarán los ficheros del troyano:

• Si tiene privilegios de superusuario, los ficheros se instalan en /Library/.local y /Library/LaunchDaemons;
• Si no los tiene, los ficheros se instalan en ~/Library/.local y ~/Library/LaunchAgents (el carácter “~” representa la ruta a la carpeta del usuario activo).

Contenido completo en fuente original Viruslist