Компанія ESET попереджає про появу нової шкідливої програми, що вражає комп'ютери під управлінням операційних систем OS X: зловред має назву Keydnap.
Попередній аналіз показує, що Keydnap поширюється в ZIP-архіві, доданому до фішингового листа. В архіві знаходиться виконуваний файл Mach-O, замаскований під текст або зображення у форматі JPEG. Під час відкриття вкладення зловред відображає певну картинку або документ, паралельно виконуючи шкідливий код. У результаті відбувається завантаження і встановлення бекдору.
Після проникнення на комп'ютер жертви Keydnap збирає різну інформацію про заражену систему. Шкідлива програма використовує права поточного користувача, але намагається отримати root-доступ, для чого відкриває вікно введення пароля Mac-користувача.
Отримавши додаткові права у системі, Keydnap копіює вміст менеджера паролів «Зв'язка ключів iCloud». У ньому зберігаються актуальні імена користувачів і паролі до веб-сайтів з браузера Safari, дані кредитних карток та інформація про мережі Wi-Fi з усіх схвалених пристроїв. Крім того, у «Зв'язці ключів iCloud» збережено облікові записи служб Mail, «Контакти», «Календар» і «Повідомлення», синхронізовані з усіма Mac-комп'ютерами жертви.
Викрадена інформація відправляється на керуючий сервер зловмисників за допомогою Tor2Web. Зловред також може встановлювати оновлення, скачувати і запускати інші виконувані файли, запитувати для них права адміністратора.
