Obwohl viele Mac-Viren keine ernsthafte Bedrohung darstellen, musste dieser weiter untersucht werden. Es erschien auch fast zur gleichen Zeit wie die Malware OSX.Backdoor.Eleanor, die ebenfalls im Juni 2016 auftauchte.
Als Eleanor und Keydnap zum ersten Mal auftauchten, gab es auch Analysen, die darauf hindeuteten, dass beide mit Windows-Malware-Viren, bekannt als Fareit/Pony, verbunden waren, als ob der oder die Ersteller entschlossen waren, so viele Daten wie möglich zu stehlen und so viele Probleme wie möglich zu verursachen zur selben Zeit.
Als Keydnap zum ersten Mal entdeckt wurde, stellten Sicherheitsanalysten fest, dass es in Form eines Anhangs, normalerweise einer Zip-Datei, oder anderer harmloserer Anhänge wie .JPG oder .TXT kam. Es ist unklar, wie die Opfer diese E-Mails erhalten haben, obwohl die üblichen Angriffsvektoren nicht ausgeschlossen werden können:Spam- und Phishing-E-Mails, Downloads von nicht vertrauenswürdigen Websites und Filesharing-Sites. Kryptowährungsbörsen und Messaging-Plattformen können ebenfalls nicht ausgeschlossen werden.
Sobald die ausführbare Datei auf einen Mac heruntergeladen wurde, ist sie so ausgestattet, dass sie Admin-Passwörter ersetzt, um ein dauerhaftes Zuhause auf Ihrem Mac zu schaffen und somit als dauerhafte Hintertür für Cyberkriminelle zu fungieren. Es kann auch seinen Standort tief in Dateien und Ordnern verschleiern, und das größte Risiko, das es darstellt, besteht darin, Passwörter zu stehlen, die auf dem OS X-Schlüsselbund gespeichert sind.
Was ist Keydnap?
Sicherheitsanalysten stellten fest, dass der Ersteller ein auf Github verfügbares Proof-of-Concept-Beispiel namens Keychaindump kopiert hat, das auf der Arbeit basiert, die in einem Artikel von K. Lee und H. Koo behandelt wird. Das Konzept, das Keydnap in die Praxis umgesetzt hat, besteht darin, den Speicher der Sicherheit zu lesen, um den Entschlüsselungsschlüssel für den Schlüsselbund eines Mac-Benutzers zu finden.
Sobald es über den anfänglichen Daten-Cache verfügt, meldet es sich mit dem onion.to Tor2Web-Proxy über HTTPS an seinen Command-and-Control-Server zurück. Mit diesen Informationen können die Hintermänner dieser Malware mit den in Ihrem Schlüsselbund gespeicherten Passwörtern auf jede Website zugreifen. Wenn Sie sich dieses Virus nicht bewusst sind, bedeutet selbst das Ändern eines Passworts, dass Sie immer noch angreifbar sind, da Keydnap eine permanente Hintertür in Ihren Mac einrichtet.
Eine Möglichkeit, die üblichen Sicherheitsmaßnahmen zu umgehen, besteht darin, dass die ausführbare Erweiterung ein Leerzeichen enthält. Anstelle von .jpg oder .txt wird es als . txt. Dieses Leerzeichen bedeutet, dass ein Doppelklick auf die Datei sie im Terminal öffnet, anstatt dort, wo Sie es erwarten würden:das Programm, das im Finder geöffnet werden sollte. Der ausführbare Download enthält auch das Symbol Finder, das normalerweise beim Herunterladen einer TXT- oder JPEG-Datei angezeigt wird, wodurch es wahrscheinlicher wird, dass jemand dem Download genug vertraut, um darauf zu klicken.
Eine andere Möglichkeit, wie Keydnap die Sicherheit umgeht, besteht darin, dass es eine ausführbare Mach-O-Datei enthält, was bedeutet, dass Ihr Mac nicht die übliche Warnung über den Download anzeigt. Es schließt schnell das Terminalfenster, erstellt ein Köderdokument und fügt einen Eintrag zum LaunchAgents-Verzeichnis hinzu, was bedeutet, dass es einen Neustart übersteht. All dies geschieht so schnell, dass es möglich ist, dass ein Mac-Benutzer nicht einmal merkt, dass er einen bösartigen Virus eingeschleust hat. Es ersetzt auch den Besitzer von icloudsyncd zu root:admin und erstellt die ausführbaren Dateien setuid und setgid, um sicherzustellen, dass dies der Fall ist wird in Zukunft als Root-ID ausgeführt.
Dies ist eindeutig ein unerwünschter und gefährlicher Malware-Virus, der so schnell wie möglich entfernt werden muss.
Wie entferne ich Keydnap?
Wie Sicherheitsanalysten bereits festgestellt haben, kann es die Sicherheit umgehen und sich an zahlreichen Stellen auf Ihrem Mac einbetten, um eine dauerhafte Hintertür für Cyberkriminelle zu schaffen. Das Entfernen ohne Hilfe kann sich als schwierig erweisen.
Sie müssten mehrere /Library durchsuchen Ordner, einschließlich LaunchAgents, und vergewissern Sie sich, dass Sie Support/com.apple.iCloud.sync.daemon ersetzt haben Verzeichnis auf den Standard zurücksetzen, bevor es durch Keydnap ersetzt wurde. Ein Grund, warum sich dies als schwierig erweisen könnte, ist, dass wir wissen, dass Keydnap einen Neustart überleben kann. Wenn Sie also nicht alle Komponenten abfangen und entfernen, könnte der Virus zurückkommen.
Kann Keydnap sicher entfernt werden?
Ja, mit CleanMyMac X.
CleanMyMac X ist ein leistungsstarker Mac-Wächter, der Ihren Mac vor Malware, Ransomware und Adware schützt. Es ist auch ein wesentliches Tool zur Leistungsverbesserung, das jede Menge Junk aufdeckt und von Ihrem Mac löscht. Wenn es um unerwünschte Adware geht, erklären Sie hier, wie Sie sie verwenden, um Ihren Mac wieder in Ordnung zu bringen :
- Laden Sie CleanMyMac X hier herunter (kostenlos!).
- Klicken Sie auf die Registerkarte Malware-Entfernung.
- Klicken Sie auf Scannen, um nach Keydnap zu suchen.
- CleanMyMac X zeigt an, dass Sie mit Keydnap oder anderer Malware infiziert wurden.
- Klicken Sie auf „Entfernen“ und sie verschwinden endgültig.
Das Entfernen von Keydnap ist unerlässlich, um das Sicherheitsniveau beizubehalten, das Sie von Ihrem Mac erwarten. Auch wenn sich herausstellt, dass Sie mit Keydnap infiziert wurden, sollten Sie jedes Passwort in Ihrem Schlüsselbund ändern, und es könnte sich aus Sicherheitsgründen lohnen, Ihr Mac-Anmeldepasswort und/oder Ihre Apple-ID zu ändern. Überprüfen Sie jedes Konto, das davon betroffen sein könnte, auf ungewöhnliche Aktivitäten oder andere Viren, die möglicherweise durch die Hintertür eingedrungen sind.