Otro software malicioso  OSX ha sido descubierto esta semana, un malware Mac zip, el cual podría dejar expuesta la contraseña guardada en el keychain de macOS. Pero a pesar de esto, el Gatekeeper de Apple ha sido capaz de prevenir el ataque si se encuentra configurado de la manera correcta. El archivo se distribuye como un comprimido .zip común que contiene un paquete disfrazado de archivo de texto o JPG con su ícono respectivo.

malware Mac zip
malware Mac zip

El malware Mac zip

Investigadores de la firma de seguridad ESET han estado estudiando un nuevo malware Mac zip de una fuente desconocida al que han llamado OSX/Keydnap. El archivo guarda la apariencia de un comprimido común .zip, que contiene un archivo text o JPG. Sin embargo, el nombre del archivo tiene un espacio al final, que de forma predeterminada abre el ejecutable Mach-O en la terminal de la Mac.

Después de hacer doble click en el archivo aparece el ícono de la terminal y se cierra rápidamente. En este punto, si el Gatekeeper está activo, el mecanismo de seguridad muestra una advertencia al usuario informándole que la app es de un desarrollador no identificado y que por lo tanto previene el inicio.

Pero si el Gatekeeper ha sido configurado para correr todas las aplicaciones sin importancia de su origen, el malware descarga y ejecuta el componente de backdoor o puerta trasera para asegurar el acceso de los desarrolladores.

Malware OSX: claves de acceso en peligro

Después de que se le ha asegurado el acceso mediante la ejecución del archivo, el malware Mac OSX/Keydnap puede ser usado por los dueños del comando para obtener acceso a las claves guardadas en el Keychain del usuario.

malware Mac OSX/Keydnap
malware Mac OSX/Keydnap

Estas claves guardadas en el Keychain del usuario incluyen tanto las claves del sistema como de los servicios en internet, tales como bancos, tiendas, y correos electrónicos. Los investigadores afirman no tener idea de dónde proviene el malware Mac zip, pero piensan que es probable que el email spam sea el origen.