Zuhause > Cyber ​​Aktuelles > Krypto-Investoren auf Slack and Discord: Vorsicht vor dem OSX.Dummy Malware
CYBER NEWS

Crypto Investoren auf Slack und Discord: Vorsicht vor dem OSX.Dummy Malware

Sicherheitsforscher fanden kürzlich heraus, wie Angreifer verwenden macOS Malware als OSX.Dummy bekannt Kryptowährung Investoren mit dem Slack und Discord Chat-Plattformen zum Ziel. Die Chat-Plattformen werden von Cyber-Kriminellen missbraucht, die Admins sind Identitätswechsel Benutzer auszutricksen.

ähnliche Geschichte: 15-Year-Old macOS Bug in IOHIDFamily führt zu Full System Compromise

Die Art und Weise die Malware verteilt ist nicht so anspruchsvoll, aber kompromittierte Systeme bleiben in Gefahr Remotecodeausführung, die zu verschiedenen bösartigen Ergebnissen führen kann. Nach Digita Sicherheit, bei einer erfolgreichen Verbindung mit dem Befehl Angreifer und Steuerungsservern, sie sind in der Lage, beliebig auf infizierten Hosts auf der Stammebene Befehl ausführen.

OSX.Dummy, Chat-Plattformen Slack und Discord - Wie Angriffe Happen

Der erste Forscher, die OSX.Dummy Malware zu holen war Remco Verhoef, die geteilt sein Entdeckung mit dem SANS Infosec Handlers Tagebuch Blog. Dies ist, was er sagte,:

In den vergangenen Tagen haben wir mehrere MacOS Malware-Attacken gesehen, mit Ursprung in Krypto Zusammenhang Slack oder Discord chattet Gruppen von Identitätswechsel admins oder Schlüsselpersonen. Kleine Schnipsel werden geteilt, wodurch das Herunterladen und eine böswillige binäre Ausführung.

Die Benutzer werden ausgetrickst ein Skript auszuführen, die dann herunterlädt OSX.Dummy Malware cURL. Die heruntergeladene Datei wird auf den macOS / tmp / script-Verzeichnis gespeichert und wird dann ausgeführt. "Die Datei ist eine große mach064 binäre (34M), Rating ein perfektes Ergebnis von 0/60 auf Virustotal,“Der Forscher sagte. Die binäre der Malware ist nicht signiert und ist offensichtlich in der Lage macOS Torwächter zu umgehen, die von unsigned Software wird heruntergeladen und ausgeführt verhindern soll.

Wie ist das möglich? Wenn der Benutzer das Herunterladen und ein binäres mit Terminal-Befehle ausgeführt, Torwächter nicht aktiviert ist und die unsigned binary wird, ohne ein Problem ausgeführt. Dies bedeutet einfach, dass der eingebaute Schutz und Minderungen von macOS genug sind, um nicht ausreichend und soll nicht blind verlassen, Forscher merken.




Wie wird Verkettungs OSX.Dummy Berechtigungen root?

Auch eine weitere gute Fragen zu macOS Sicherheit. Dies geschieht während der binären ausgeführt wird, wenn ein macOS sudo-Befehl ändert die Berechtigungen von root Malware via Terminal. Dies erfordert die Benutzer ihr Passwort in das Terminal eingeben. Wie bereits erläutert von Apple, die Ausführung eines Befehls sudo im Terminal muss der Benutzer mit einem Administratorkonto angemeldet sein, das ist passwortgeschützt.

Sobald dies ist nach unten, OSX.Dummy fällt Code in verschiedenen Systemverzeichnisse wie „/Library/LaunchDaemons/com.startup.plist“, wodurch OSX.Dummy Präsenz auf dem System recht nachhaltig.

Verhoef, die Forscher, der zuerst die Malware-Infektionen berichteten auch hinzugefügt, dass:

Der Bash-Skript (das führt einen Befehl Python) versucht, eine Verbindung zu 185[.]243[.]115[.]230 im Hafen 1337 innerhalb einer Schleife und der Python-Code erzeugt eine umgekehrte Schale. Um sicherzustellen, dass die Ausführung während des Starts erstellt es einen Start-Daemon. Im Moment teste ich die, die umgekehrte Schale fehlgeschlagen verbinden.

ähnliche Geschichte: OSX.Coinminer Trojan - Wie zu erkennen und entfernen aus Ihrem MacBook

Warum wurde die Malware genannt OSX.Dummy?

Denn eines der Verzeichnisse, in denen das Passwort des Opfers abgeladen wird aufgerufen „/ Tmp / dumpdummy“. Ein weiterer Grund ist, dass die Infektion Kanal ziemlich langweilig ist und ungekünstelt und die Größe der binären ist auch groß (und stumm!) sowie der Persistenzmechanismus und die allgemeinen Fähigkeiten. Dennoch, bei einem erfolgreichen Angriff kann die Malware mit seinen Steuer- und Kontroll Server verbinden und die Steuerung des Systems übernehmen beeinträchtigter, so dass es nicht so dumm, nachdem alle.

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau