Beveiliging onderzoekers ontdekten onlangs hoe aanvallers gebruikt MacOS malware bekend als OSX.Dummy om cryptogeld beleggers richten met behulp van de Slack en Onenigheid chat-platforms. De chat-platforms worden misbruikt door cybercriminelen die zich voordoen als admins om gebruikers te misleiden.
De manier waarop de malware verspreidt is niet zo verfijnd, maar gecompromitteerde systemen, blijft uiteraard het risico van het uitvoeren van externe code, die kan leiden tot verschillende kwaadaardige resultaten. Volgens Digita Beveiliging, op een succesvolle verbinding met de aanvallers command and control servers, zijn ze in staat om willekeurig commando uit te voeren op de geïnfecteerde hosts op het hoogste niveau.
OSX.Dummy, Slack en Onenigheid Chat Platforms - Hoe Attacks Happen
De eerste onderzoeker te halen de OSX.Dummy malware was Remco Verhoef die deelde zijn ontdekking met het SANS Infosec Handlers Diary Blog. Dit is wat hij zei:
Over de afgelopen dagen hebben we meerdere MacOS malware-aanvallen gezien, dat binnenin crypto gerelateerde Slack of Onenigheid chats groepen uit naam van admins of belangrijke mensen. Kleine fragmenten worden gedeeld, wat resulteert in het downloaden en uitvoeren van een kwaadaardige binaire.
De gebruikers worden misleid om een script dat downloadt vervolgens OSX.Dummy malware met behulp van cURL voeren. Het gedownloade bestand wordt opgeslagen op de MacOS / tmp / script directory en wordt vervolgens uitgevoerd. "Het bestand is een grote mach064 binaire (34M), Waardering voor een perfecte score van 0/60 op VirusTotal,”Zei de onderzoeker. De binaire van de malware niet is ondertekend en is uiteraard in staat te omzeilen MacOS Gatekeeper die unsigned software moet voorkomen dat wordt gedownload en uitgevoerd.
Hoe is dat mogelijk? Als de gebruiker is het downloaden en uitvoeren van een binaire met behulp van terminal commando's, Gatekeeper is niet geactiveerd en de unsigned binary wordt uitgevoerd zonder een probleem. Dit betekent simpelweg dat de ingebouwde bescherming en beperkende factoren van MacOS zijn niet voldoende en moet niet worden ingeroepen blind, onderzoekers constateren.
Hoe wordt OSX.Dummy chaining toestemmingen om wortel?
Ook een andere goede vragen over MacOS veiligheid. Dit gebeurt terwijl de binaire wordt uitgevoerd, wanneer een MacOS sudo commando verandert de machtigingen van de malware om root via Terminal. Dit vereist dat de gebruiker om hun wachtwoord in te voeren in de terminal. Zoals uitgelegd door Apple, de uitvoering van een sudo commando in Terminal vereist dat de gebruiker zijn aangemeld met een beheerdersaccount dat is beveiligd met een wachtwoord.
Zodra dit is down, OSX.Dummy daalt code in verschillende systeem mappen, zoals “/Library/LaunchDaemons/com.startup.plist”, waardoor de aanwezigheid OSX.Dummy's op het systeem heel hardnekkige.
Verhoef, de onderzoeker die voor het eerst melding gemaakt van het malware-infecties ook aan toegevoegd dat:
De dreunmanuscript (die een python opdracht werkt) verbinding probeert te maken 185[.]243[.]115[.]230 in de haven 1337 binnen een lus en de python code wordt een omgekeerde shell. Om de uitvoering tijdens het opstarten zorgen voor het creëert een lancering daemon. Op het moment dat ik deze testen, het omgekeerde shell niet in geslaagd om aan te sluiten.
Waarom werd de malware genaamd OSX.Dummy?
Omdat één van de mappen waar het wachtwoord van het slachtoffer wordt gedumpt wordt genoemd “/ Tmp / dumpdummy”. Een andere reden is dat de infectie kanaal nogal saai en ongecompliceerd en de grootte van het binaire is ook groot (en stom!) evenals de persistentie mechanisme en de algehele mogelijkheden. Niettemin, op een succesvolle aanval de malware verbinding kan maken met de command and control-server en de controle over de gecompromitteerde systeem, waardoor het niet zo dom na alle.