Sikkerhed forskere for nylig fundet ud af, hvordan angriberne bruger MacOS malware kendt som OSX.Dummy at målrette cryptocurrency investorer ved hjælp af Slack og uenighed chat-platforme. De chat platforme er misbrugt af cyberkriminelle, der udklædt administratorer at narre brugere.
Den måde, malware distribuerer er ikke så sofistikeret, men kompromitterede systemer være i risiko for fjernkørsel af programkode, der kan føre til forskellige ondsindede udfald. Ifølge Digita Sikkerhed, på en vellykket forbindelse til angribernes kommando og kontrol-servere, de er i stand til at vilkårligt eksekvere kommandoen på inficerede værter på rodniveau.
OSX.Dummy, Slack og uenighed chat platforme - Hvordan angreb Happen
Den første forsker til at afhente OSX.Dummy malware var Remco Verhoef som delte hans opdagelse med SANS Infosec Handlers Dagbog Blog. Dette er, hvad han sagde:
I løbet af de foregående dage har vi set flere MacOS malware-angreb, oprindelse i krypto relateret Slack eller Discord chats grupper ved at efterligne administratorer eller nøglepersoner. Små uddrag deles, hvilket resulterer i at downloade og udføre en ondsindet binær.
Brugerne er lokket til at udføre et script, som så henter OSX.Dummy malware ved hjælp cURL. Den hentede fil gemmes på MacOS / tmp / script folderen og derefter henrettet. "Filen er en stor mach064 binær (34M), bedømmelse af en perfekt score på 0/60 på VirusTotal,”Forskeren sagde. Den binære af malware er signeret og er naturligvis i stand til at omgå MacOS Gatekeeper som skulle forhindre usigneret software fra at blive hentet og henrettet.
Hvordan er det muligt? Hvis brugeren downloader og kører en binær hjælp terminal-kommandoer, Gatekeeper er ikke aktiveret, og den usigneret binære udføres uden et problem. Det betyder blot, at de indbyggede beskyttelse og afhjælpninger af MacOS ikke er tilstrækkelige nok og burde ikke påberåbes blindt, forskere note.
Hvordan OSX.Dummy chaining tilladelser til roden?
Også en anden god spørgsmål vedrørende MacOS sikkerhed. Dette sker samtidig med den binære udføres, når en MacOS sudo kommando ændrer malware tilladelser til roden via Terminal. Dette kræver, at brugeren indtaster deres kodeord i terminalen. Som forklaret af Apple, udførelsen af en sudo kommando i Terminal kræver, at brugeren skal være logget ind med en admin konto, der er beskyttet med adgangskode.
Når dette er ned, OSX.Dummy dråber kode i forskellige system biblioteker såsom ”/Library/LaunchDaemons/com.startup.plist”, dermed gøre OSX.Dummy tilstedeværelse på systemet ganske vedholdende.
Verhoef, den forsker, der først rapporteret de malware infektioner også tilføjet, at:
Den bash-script (der løber en python kommando) forsøger at oprette forbindelse til 185[.]243[.]115[.]230 i havn 1337 i en løkke og python kode opretter en omvendt shell. For at sikre udførelse under opstart det skaber en lancering dæmon. I øjeblikket var jeg teste dette, den omvendte skallen ikke forbindelse.
Hvorfor blev malwaren døbt OSX.Dummy?
Fordi en af de mapper, hvor offerets password dumpet kaldes ”/ Tmp / dumpdummy”. En anden grund er, at infektionen kanalen er temmelig kedelig og ukompliceret og størrelsen af den binære er også stor (og dum!) samt vedholdenhed mekanisme og samlede kapacitet. Ikke desto mindre, på et vellykket angreb malwaren kan oprette forbindelse til sin kommando og kontrol-server og tage kontrol over kompromitteret system, gør det ikke, at dum alligevel.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: