Para empezar es un fichero que aparentemente podríamos abrir (imagen jpg, archivo de texto, etc) pero en su composición lleva un espacio tras su extensión y nuestro mac, piensa que es un archivo que no sabe interpretar y lo abre (en lugar de con Vista Previa o TextEdit) con Terminal. Y es ahí donde, a base de un exploit de elevación de privilegios nos hace (dos) hijos de madera.
El primero, se recoloca por nuestro sistema (arranque automático incluido) con ficheros del tipo "icloud.sync" y similares (que parecen reales). Además crea una puerta con la red Tor (la Deep Web que ya os comentaba en otra entrada) para enviar datos y recibir órdenes.
¿Y qué datos son los que envía y qué órdenes puede recibir?
Keydnap es un ladrón porque realiza un volcado de vuestro Keychain (Llavero de contraseñas) y una vez en su poder, lo envía a dicha red Tor, para que los criminales tengan en su poder vuestras credenciales, números secretos, etc.
Y las órdenes que puede recibir, van desde a desinstalarse para no dejar rastro, como si nunca hubiese existido en nuestro equipo, o solicitar las credenciales de administrador de vuestro Mac la próxima vez que lancéis una aplicación. ¿Y dónde irán esas credenciales?. Sí, a Tor nuevamente, a manos de los criminales que hay detrás.
Si actualizaste transmission (o quizás te llegó por otro lado) y quieres verificar que tu sistema está limpio, échale un vistazo a estos directorios:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
- $HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
- /Library/Application Support/com.apple.iCloud.sync.daemon/
- $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist
Saludos Manzaneros!
