I ricercatori di sicurezza ha recentemente scoperto come gli aggressori utilizzano MacOS malware noto come OSX.Dummy di indirizzare gli investitori criptovaluta utilizzando le piattaforme di chat Slack e la discordia. Le piattaforme di chat sono maltrattati dai criminali informatici che stanno spacciando amministratori di ingannare gli utenti.
Il modo in cui il malware sta distribuendo non è poi così sofisticato, ma sistemi compromessi rimangono a rischio di esecuzione di codice da remoto che può portare a diversi risultati dannosi. Secondo Digita sicurezza, su di una connessione ai server di comando e controllo degli attaccanti, essi sono in grado di eseguire arbitrariamente comandi su host infetti a livello di radice.
OSX.Dummy, Slack e la discordia piattaforme Chat - Come attacchi Happen
Il primo ricercatore a raccogliere il malware OSX.Dummy era Remco Verhoef che ha condiviso la sua scoperta con il blog SANS Infosec Handlers Diario. Questo è quello che ha detto:
Nel corso dei giorni precedenti abbiamo visto molteplici attacchi malware MacOS, originari ai relativi cripto Slack o Discordia chats gruppi dagli amministratori che assumono l'identità o persone chiave. I piccoli frammenti sono condivisi, con conseguente download e l'esecuzione di un binario dannoso.
Gli utenti sono indotti ad eseguire uno script che poi scarica OSX.Dummy di malware utilizzando cURL. Il file scaricato viene salvato nella directory MacOS / tmp / script e viene quindi eseguito. "Il file è un binario di grandi dimensioni mach064 (34M), Valutazione di un punteggio perfetto di 0/60 su VirusTotal,”Ha detto il ricercatore. Il binario del malware è firmato ed è ovviamente in grado di aggirare MacOS gatekeeper che dovrebbe impedire software non firmato vengano scaricati ed eseguito.
Come è possibile? Se l'utente sta scaricando ed eseguendo un binario utilizzando i comandi da terminale, Gatekeeper non viene attivato ed il binario senza segno viene eseguita senza problemi. Questo significa semplicemente che le protezioni incorporate e mitigations di MacOS, non sono sufficienti e non devono essere considerate alla cieca, ricercatori nota.
Come viene OSX.Dummy incatena autorizzazioni per radice?
Anche un altro buone domande relative alla sicurezza MacOS. Questo accade mentre viene eseguito il binario, quando un comando sudo MacOS cambia le autorizzazioni del malware per root tramite Terminal. Ciò richiede all'utente di inserire la propria password nel terminale. Come spiegato da Apple, l'esecuzione di un comando sudo in Terminale richiede all'utente di effettuare il login con un account amministratore che è protetto da password.
Una volta che questo è giù, OSX.Dummy gocce di codice in varie directory di sistema, come “/Library/LaunchDaemons/com.startup.plist”, rendendo così la presenza di OSX.Dummy sul sistema abbastanza persistente.
Verhoef, il ricercatore che per primo ha riportato le infezioni malware ha anche aggiunto che:
Lo script bash (che esegue un comando python) tenta di connettersi a 185[.]243[.]115[.]230 al porto 1337 all'interno di un ciclo e il codice pitone crea un guscio inverso. Per garantire l'esecuzione durante l'avvio crea un demone di lancio. Al momento stavo testando questo, il guscio inverso riuscito a connettersi.
Perché il malware soprannominato OSX.Dummy?
Perché una delle directory in cui la password della vittima è oggetto di dumping è chiamato “/ Tmp / dumpdummy”. Un altro motivo è che il canale infezione è piuttosto noioso e sofisticato e la dimensione del binario è anche grande (e muto!) così come il meccanismo di persistenza e capacità complessive. Ciò nonostante, su di un attacco di successo il malware in grado di connettersi al proprio server di comando e controllo e prendere il controllo del sistema compromesso, rendendolo non tanto stupida, dopo tutto.