La semana pasada, la compañía se especializa en antivirus Kaspersky anunció el descubrimiento de un nuevo malware para Mac llamado Ventir.Malware contiene un troyano, keylogger y backdoor. Kaspersky no dice cómo malware está instalado que debe ser un Unix archivo ejecutable, que pudo haber sido parte de un paquete de aplicación o instalación o puede haber sido destinados a ser utilizados en ataques con acceso físico a Mac blanco.
En ambos casos, la ejecución de este archivo en Terminal infecta el sistema.
Kaspersky informe indica una diferencia en el comportamiento dependiendo de si el acceso a la raíz está disponible (por ejemplo si el usuario proporciona involuntariamente admin y la contraseña para su aplicación maliciosa).
Pero si el usuario se negó a introducir la contraseña, el malware se instala de manera diferente.Ventir si llama con ‘sudo’ en la Terminal, que permite acceso root, cree una carpeta denominada «.local» / carpeta de la biblioteca e instalar algunos archivos en su interior.
También instala un archivo llamado «com. actualizado. launchagent. plist» carpeta en la/Library/LaunchDaemons, que sigue ejecutando el archivo ejecutable en cualquier momento.Si no hay acceso de root, instalarlo en la carpeta «local» en la biblioteca del usuario.
En este caso, actualiza el archivo com.. launchagent archivo se crea en la carpeta ~/Library/LaunchAgents.
Kaspersky Lab sospecha que malware Ventir, o adesseo algo vinculado, puede se han utilizado en recientes robos de datos.
En particular a la luz de recientes fugas de inicio de sesión y contraseña de la base de datos por Yandex, Mail.ru y Gmail.
Es posible que el malware perteneciente a la familia que ventir se ha utilizado para proporcionar los datos a las bases de datos publicados por los ciberdelincuentes.También es significativo que uno de sus muchos componentes de Ventir (la extensión de keylogger del núcleo) consiste en código de fuente abierta y libremente disponible en GitHub.
El uso de software de código abierto hace mucho más fácil para los hackers crean nuevo malware y esto significa que podemos esperar que el número de spyware troyano puede crecer mucho en el futuro.
Apple no ha sido bloqueado Ventir con XProtect, pero esperemos que actualizará OS X pronto; Pero incluso si una actualización XProtect protegerá contra Troya Ventir en forma, es importante entender que si se utiliza por un atacante con acceso físico al ordenador, sin embargo usted puede saltarse XProtect.
¿Cómo entender si han sido infectados
Para identificar si usted está infectado o no, mira en las siguientes carpetas buscando el archivo com. actualizado. launchagent archivo:
~/Library/LaunchAgents/
Encuentran/LaunchDaemons/
Si encuentras el archivo en una de estas carpetas, estás infectado con Ventir.
Lamentablemente este malware también contiene una puerta trasera que podrían utilizarse para instalar componentes adicionales o cambios malintencionados en su sistema, y luego la eliminación no es tan simple como eliminar archivos maliciosos que se describe en el informe de Kaspersky.
Si usted está infectado, puede ser necesario borrar el disco duro, vuelva a instalar el sistema y las aplicaciones desde cero y restaurar sólo los datos (no hay archivos de configuración, aplicaciones, etc.) de una copia de seguridad anterior con seguridad.