Les chercheurs en sécurité a récemment découvert comment les attaquants utilisent des logiciels malveillants macOS connu sous le nom OSX.Dummy pour cibler les investisseurs utilisant les plates-formes crypto-monnaie de chat Slack et Discorde. Les plates-formes de chat sont abusés par des cybercriminels qui se faisant passer pour les admins pour tromper les utilisateurs.
La façon dont le logiciel malveillant distribution est pas sophistiqué mais les systèmes compromis restent à risque d'exécution de code à distance qui peut conduire à différents résultats malveillants. Selon Digita Sécurité, sur une connexion réussie à la commande et les serveurs de contrôle des attaquants, ils sont en mesure d'exécuter arbitrairement commande sur des hôtes infectés au niveau racine.
OSX.Dummy, Chat Slack et Discorde plates-formes - Comment les attaques Happen
Le premier chercheur à ramasser les logiciels malveillants OSX.Dummy était Remco Verhoef qui a partagé son Découverte avec le blog SANS Infosec Handlers Journal. Voici ce qu'il a dit:
Au cours des jours précédents, nous avons vu plusieurs attaques de logiciels malveillants MacOS, origine dans les chats Slack ou Discorde liés Crypto groupes en se faisant passer pour les administrateurs ou les personnes clés. Les petits extraits sont partagés, entraînant le téléchargement et l'exécution d'un fichier binaire malveillant.
Les utilisateurs sont dupés pour exécuter un script qui télécharge ensuite les logiciels malveillants en utilisant OSX.Dummy cURL. Le fichier téléchargé est enregistré dans le répertoire / script macOS / tmp et est ensuite exécuté. "Le fichier est un grand binaire mach064 (34M), la notation d'un score parfait de 0/60 sur VirusTotal,» Dit le chercheur. Le binaire du logiciel malveillant est non signé et est évidemment en mesure de contourner macOS Gatekeeper qui devrait empêcher les logiciels non signés d'être téléchargé et exécuté.
Comment est-ce possible? Si l'utilisateur est en cours de téléchargement et l'exécution d'un binaire en utilisant les commandes de terminaux, Gatekeeper est pas activé et le binaire non signé est exécuté sans problème. Cela signifie simplement que les protections et atténuations intégrées de macOS ne sont pas suffisants et ne devraient pas se fier aveuglément, chercheurs notent.
Comment les autorisations à la racine OSX.Dummy chaînage?
Aussi une autre bonnes questions concernant la sécurité macOS. Cela se produit alors que le binaire est exécuté, lorsqu'une commande sudo macOS change les autorisations du Malware pour root via Terminal. Cela demande à l'utilisateur d'entrer son mot de passe dans le terminal. Comme expliqué par Apple, l'exécution d'une commande sudo dans le terminal, l'utilisateur doit être connecté avec un compte administrateur qui est protégé par mot de passe.
Une fois que cela est en baisse, OSX.Dummy gouttes code dans différents répertoires du système tels que « /Library/LaunchDaemons/com.startup.plist », ce qui rend la présence de OSX.Dummy sur le système tout à fait persistante.
Verhoef, le chercheur qui a d'abord rapporté les infections de logiciels malveillants a également ajouté que:
Le script bash (qui exécute une commande python) tente de se connecter à 185[.]243[.]115[.]230 au port de 1337 dans une boucle et le code de python crée une coquille arrière. Pour assurer une exécution au démarrage, il crée un démon de lancement. En ce moment je testais ce, la coque arrière n'a pas réussi à se connecter.
Pourquoi le logiciel malveillant baptisé OSX.Dummy?
Parce que l'un des répertoires où est déversée est appelé le mot de passe de la victime « / Tmp / dumpdummy ». Une autre raison est que le canal d'infection est assez terne et peu sophistiquée et la taille du binaire est aussi grande (et muet!) ainsi que le mécanisme de persistance et les capacités globales. Cependant, sur une attaque réussie du logiciel malveillant peut se connecter à son serveur de commande et de contrôle et prendre le contrôle du système compromis, ce qui en fait pas muet après tout.