SlackとDiscordに関する暗号投資家: OSXに注意してください。ダミーマルウェア

セキュリティ研究者は最近、攻撃者がOSX.Dummyと呼ばれるmacOSマルウェアを使用して、SlackおよびDiscordチャットプラットフォームを使用して暗号通貨の投資家を標的にしていることを発見しました. チャットプラットフォームは、ユーザーをだますために管理者になりすましているサイバー犯罪者によって悪用されています.

マルウェアが配布する方法はそれほど洗練されていませんが、侵害されたシステムはリモートでコードが実行されるリスクがあり、さまざまな悪意のある結果につながる可能性があります. DigitaSecurityによると, 攻撃者のコマンドアンドコントロールサーバーへの接続が成功したとき, ルートレベルで感染したホストに対して任意にコマンドを実行できます.

OSX.Dummy, SlackおよびDiscordチャットプラットフォーム–攻撃の発生方法

OSXを手にした最初の研究者。ダミーマルウェアは、彼を共有したRemcoVerhoefでした。 発見 SANSInfosecハンドラー日記ブログで. これは彼が言ったことです:

過去数日間、複数のMacOSマルウェア攻撃が見られました, 管理者またはキーパーソンになりすますことにより、暗号関連のSlackまたはDiscordチャットグループ内で発信. 小さなスニペットが共有されます, 悪意のあるバイナリをダウンロードして実行する結果になります.

ユーザーはだまされてスクリプトを実行し、スクリプトを実行してOSXをダウンロードします。cURLを使用してダミーマルウェア. ダウンロードしたファイルはmacOS/tmp / scriptディレクトリに保存され、実行されます. 「「ファイルは大きなmach064バイナリです (34M), の満点を評価する 0/60 VirusTotalで,」研究者は言った. マルウェアのバイナリは署名されておらず、明らかにmacOS Gatekeeperをバイパスできます。これにより、署名されていないソフトウェアがダウンロードされて実行されるのを防ぐことができます。.

そんなことがあるものか? ユーザーがターミナルコマンドを使用してバイナリをダウンロードして実行している場合, ゲートキーパーがアクティブ化されておらず、符号なしバイナリが問題なく実行されている. これは単に、macOSの組み込みの保護と緩和が十分ではなく、盲目的に依存すべきではないことを意味します, 研究者は注意する.

ルートへのOSX.Dummyチェーン権限はどうですか?

macOSのセキュリティに関するもう1つの良い質問. これは、バイナリの実行中に発生します, macOSSudoコマンドがマルウェアの権限をターミナル経由でrootに変更した場合. これには、ユーザーがターミナルにパスワードを入力する必要があります. Appleが説明したように, ターミナルでsudoコマンドを実行するには、ユーザーがパスワードで保護された管理者アカウントでログインしている必要があります.

これがダウンしたら, OSX.Dummyは、次のようなさまざまなシステムディレクトリにコードをドロップします。 「/library/LaunchDaemons/com.startup.plist」, したがって、システム上のOSX.Dummyの存在は非常に永続的になります.

Verhoef, マルウェア感染を最初に報告した研究者も、:

bashスクリプト (Pythonコマンドを実行します) 接続しようとします 185[.]243[.]115[.]230 港で 1337 ループ内でPythonコードがリバースシェルを作成します. 起動時に確実に実行するために、起動デーモンを作成します. 現時点で私はこれをテストしていました, リバースシェルは接続に失敗しました.

マルウェアがOSX.Dummyと呼ばれたのはなぜですか?

被害者のパスワードがダンプされるディレクトリの1つが呼び出されるため 「/tmp/dumpdummy」. もう1つの理由は、感染チャネルがかなり鈍く、洗練されておらず、バイナリのサイズも大きいことです。 (とダム!) 永続性メカニズムと全体的な機能だけでなく. それにもかかわらず, 攻撃が成功すると、マルウェアはそのコマンドおよび制御サーバーに接続し、侵入先のシステムを制御することができます。, 結局、それほど馬鹿ではない.