>> サイバーニュース > Crypto Investors on Slack and Discord: OSXに注意してください。ダミーマルウェア
サイバーニュース

SlackとDiscordに関する暗号投資家: OSXに注意してください。ダミーマルウェア

  |  Last Update:  |  0 コメントコメント  

セキュリティ研究者は最近、攻撃者がOSX.Dummyと呼ばれるmacOSマルウェアを使用して、SlackおよびDiscordチャットプラットフォームを使用して暗号通貨の投資家を標的にしていることを発見しました. チャットプラットフォームは、ユーザーをだますために管理者になりすましているサイバー犯罪者によって悪用されています.

関連記事: 15-IOHIDFamilyの1年前のmacOSバグは、完全なシステム侵害につながります

マルウェアが配布する方法はそれほど洗練されていませんが、侵害されたシステムはリモートでコードが実行されるリスクがあり、さまざまな悪意のある結果につながる可能性があります. DigitaSecurityによると, 攻撃者のコマンドアンドコントロールサーバーへの接続が成功したとき, ルートレベルで感染したホストに対して任意にコマンドを実行できます.

OSX.Dummy, SlackおよびDiscordチャットプラットフォーム–攻撃の発生方法

OSXを手にした最初の研究者。ダミーマルウェアは、彼を共有したRemcoVerhoefでした。 発見 SANSInfosecハンドラー日記ブログで. これは彼が言ったことです:

過去数日間、複数のMacOSマルウェア攻撃が見られました, 管理者またはキーパーソンになりすますことにより、暗号関連のSlackまたはDiscordチャットグループ内で発信. 小さなスニペットが共有されます, 悪意のあるバイナリをダウンロードして実行する結果になります.

ユーザーはだまされてスクリプトを実行し、スクリプトを実行してOSXをダウンロードします。cURLを使用してダミーマルウェア. ダウンロードしたファイルはmacOS/tmp / scriptディレクトリに保存され、実行されます. 「「ファイルは大きなmach064バイナリです (34M), の満点を評価する 0/60 VirusTotalで,」研究者は言った. マルウェアのバイナリは署名されておらず、明らかにmacOS Gatekeeperをバイパスできます。これにより、署名されていないソフトウェアがダウンロードされて実行されるのを防ぐことができます。.

そんなことがあるものか? ユーザーがターミナルコマンドを使用してバイナリをダウンロードして実行している場合, ゲートキーパーがアクティブ化されておらず、符号なしバイナリが問題なく実行されている. これは単に、macOSの組み込みの保護と緩和が十分ではなく、盲目的に依存すべきではないことを意味します, 研究者は注意する.




ルートへのOSX.Dummyチェーン権限はどうですか?

macOSのセキュリティに関するもう1つの良い質問. これは、バイナリの実行中に発生します, macOSSudoコマンドがマルウェアの権限をターミナル経由でrootに変更した場合. これには、ユーザーがターミナルにパスワードを入力する必要があります. Appleが説明したように, ターミナルでsudoコマンドを実行するには、ユーザーがパスワードで保護された管理者アカウントでログインしている必要があります.

これがダウンしたら, OSX.Dummyは、次のようなさまざまなシステムディレクトリにコードをドロップします。 「/library/LaunchDaemons/com.startup.plist」, したがって、システム上のOSX.Dummyの存在は非常に永続的になります.

Verhoef, マルウェア感染を最初に報告した研究者も、:

bashスクリプト (Pythonコマンドを実行します) 接続しようとします 185[.]243[.]115[.]230 港で 1337 ループ内でPythonコードがリバースシェルを作成します. 起動時に確実に実行するために、起動デーモンを作成します. 現時点で私はこれをテストしていました, リバースシェルは接続に失敗しました.

関連記事: OSX.Coinminerトロイの木馬–Macbookを検出して削除する方法

マルウェアがOSX.Dummyと呼ばれたのはなぜですか?

被害者のパスワードがダンプされるディレクトリの1つが呼び出されるため 「/tmp/dumpdummy」. もう1つの理由は、感染チャネルがかなり鈍く、洗練されておらず、バイナリのサイズも大きいことです。 (とダム!) 永続性メカニズムと全体的な機能だけでなく. それにもかかわらず, 攻撃が成功すると、マルウェアはそのコマンドおよび制御サーバーに接続し、侵入先のシステムを制御することができます。, 結局、それほど馬鹿ではない.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

関連記事:
  1. Mac上のOSX.Bnodleroアドウェア–それを削除する方法 OSX.Bnodleroアドウェアとは? OSX.Bnodlero アドウェアはどのように動作しますか...
  2. Slackor RATにより、ハッカーはSlackサーバーを使用できます The Slackor RAT is a tool developed primarily for security...
  3. DummyEncrypterウイルスを削除し、ファイルを復元します DummyEncrypterはランサムウェアウイルスです. ラップを解除するマルウェア...
  4. Mac上のOSX.Spcアドウェア–それを削除する方法 (図解されたステップ) OSX.Spcアドウェアとは何ですか? OSX.Spcアドウェアはどのように機能しますか? どのように...
  5. Mac上のOSX/リンカーウイルス (マルウェア) –それを削除する方法 OSX /LinkerMacマルウェアとは何ですか? OSX/Linker Mac を削除する方法...
  6. OSX.Coinminerトロイの木馬 – Macbookを検出して削除する方法 この記事は、あなたを助けるために作成されました...
  7. OSX.Pirrit – Macを危険にさらすマルウェアアドウェア Pirritアドウェア (Adware.Pirrit, アドウェア: Win32 /Pirrit) Windowsシステムを悩ませていることが検出されました...
  8. OSX / MaMi MacOSウイルス–Macから削除する方法 この記事は、...

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します