Los investigadores de seguridad han descubierto recientemente cómo los atacantes están utilizando macOS malware conocido como OSX.Dummy para apuntar los inversores criptomoneda utilizando las plataformas de chat de tensión y la discordia. Las plataformas de chat son abusados por los delincuentes que están suplantan a los administradores de engañar a los usuarios.
La forma en que el software malicioso está distribuyendo no es tan sofisticado, pero siguen siendo sistemas comprometidos en riesgo de ejecución remota de código que puede dar lugar a varios resultados maliciosos. De acuerdo con Digita Seguridad, sobre la correcta conexión con los servidores de comando y control de los atacantes, que son capaces de ejecutar arbitrariamente comandos en hosts infectados en el nivel raíz.
OSX.Dummy, Holgura y la discordia plataformas de chat - ¿Cómo suceden los ataques
El primer investigador para recoger el malware OSX.Dummy fue Remco Verhoef que compartía su descubrimiento con el blog SANS Infosec Los manipuladores Diario. Esto es lo que dijo:
Durante los días anteriores hemos visto varios ataques de malware MacOS, originario dentro Slack relacionados cripto o discordia chats grupos haciéndose pasar por los administradores o personas clave. Pequeños fragmentos son compartidos, lo que resulta en la descarga y ejecución de un binario malicioso.
Los usuarios son engañados para ejecutar un script que luego descarga OSX.Dummy malware utilizando CURL. El archivo descargado se guarda en el directorio macOS / tmp / script y luego se ejecuta. "El archivo es un binario grande mach064 (34M), la calificación de una puntuación perfecta de 0/60 en VirusTotal,”Dijo el investigador. El binario del malware está sin firmar y obviamente capaces de saltarse macOS Gatekeeper que debe evitar que el software sin firmar de ser descargado y ejecutado.
Cómo es eso posible? Si el usuario está descargando y ejecutando un binario utilizando comandos de terminal, Gatekeeper no está activado y el binario sin signo se ejecuta sin problemas. Esto simplemente significa que las protecciones y mitigaciones incorporadas de macOS no son suficientes y no se debe confiar ciegamente, investigadores señalan.
¿Cómo se OSX.Dummy encadenando permisos a la raíz?
También otra pregunta buenas concernientes a la seguridad macOS. Esto sucede mientras se ejecuta el binario, cuando un comando sudo macOS cambia los permisos del malware a través de la terminal de la raíz. Esto requiere que el usuario introduzca su contraseña en el terminal. Como se explica por Apple, la ejecución de un comando sudo en Terminal requiere que el usuario haya iniciado sesión con una cuenta de administrador que es protegido por contraseña.
Una vez que esto se ha reducido, OSX.Dummy gotas de código en varios directorios del sistema, tales como “/Library/LaunchDaemons/com.startup.plist”, con lo que la presencia de OSX.Dummy en el sistema bastante persistente.
Verhoef, el investigador que informó por primera vez las infecciones de malware también agregó que:
La escritura del golpe (que se ejecuta un comando Python) intenta conectarse a 185[.]243[.]115[.]230 en el puerto 1337 dentro de un bucle y el código de pitón crea un shell inversa. Para asegurar la ejecución durante el arranque se crea un demonio de lanzamiento. En el momento en que estaba probando este, la cáscara inversa no pudo conectar.
¿Por qué el malware se denominó OSX.Dummy?
Debido a que uno de los directorios donde se descarga la contraseña de la víctima se llama “/ Tmp / dumpdummy”. Otra razón es que el canal infección es bastante aburrida y poco sofisticada y el tamaño del binario es también grande (y mudo!) así como el mecanismo de persistencia y capacidades generales. No obstante, tras un ataque con éxito el programa malicioso puede conectarse a su servidor de comando y control y tomar el control del sistema comprometido, lo que no es tan tonto después de todo.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: