Casa > cibernético Notícias > Crypto Investors on Slack and Discord: Cuidado com o OSX.Dummy Malware
CYBER NEWS

Os investidores cripto sobre Slack e Discórdia: Cuidado com o OSX.Dummy Malware

Os pesquisadores de segurança recentemente descobri como os atacantes estão usando MacOS malware conhecido como OSX.Dummy aos investidores alvo criptomoeda usando o Slack e plataformas de bate-papo desacordo. As plataformas de bate-papo são abusadas por cibercriminosos que está representando os administradores para usuários truque.

Story relacionado: 15-Year-Old MacOS Bug em Leads IOHIDFamily ao comprometimento do sistema completa

A forma como o malware está sendo distribuído não é tão sofisticada, mas os sistemas comprometidos permanecem em risco de execução remota de código, o que pode levar a vários resultados maliciosos. De acordo com a Digita Security, após uma conexão bem-sucedida com os servidores de comando e controle dos invasores, eles são capazes de executar comandos arbitrariamente em hosts infectados no nível raiz.

OSX.Dummy, Plataformas de bate-papo Slack e Discord - como os ataques acontecem

O primeiro pesquisador a descobrir o malware OSX.Dummy foi Remco Verhoef, que compartilhou seu descoberta com o SANS Infosec Handlers Diary Blog. Isto é o que ele disse:

Nos dias anteriores, vimos vários ataques de malware MacOS, originados em grupos de bate-papos do Slack ou Discord relacionados à criptografia, fazendo-se passar por administradores ou pessoas-chave. Pequenos trechos são compartilhados, resultando no download e execução de um binário malicioso.

Os usuários são enganados para executar um script que baixa o malware OSX.Dummy usando cURL. O arquivo baixado é salvo no diretório macOS / tmp / script e, em seguida, executado. “O arquivo é um grande binário mach064 (34M), avaliando uma pontuação perfeita de 0/60 no VirusTotal,”Disse o pesquisador. O binário do malware não tem sinal e é obviamente capaz de ignorar o macOS Gatekeeper, o que deve impedir que software não assinado seja baixado e executado.

Como isso é possível? Se o usuário estiver baixando e executando um binário usando comandos de terminal, O gatekeeper não está ativado e o binário não assinado é executado sem problemas. Isso significa simplesmente que as proteções e atenuações integradas do macOS não são suficientes e não devem ser confiadas cegamente, nota pesquisadores.




Como as permissões de encadeamento OSX.Dummy para root?

Outra boa pergunta sobre a segurança do macOS. Isso acontece enquanto o binário é executado, quando um comando macOS sudo altera as permissões do malware para fazer root via Terminal. Isso requer que o usuário digite sua senha no terminal. Conforme explicado pela Apple, a execução de um comando sudo no Terminal exige que o usuário esteja conectado com uma conta de administrador protegida por senha.

Quando isso acabar, OSX.Dummy descarta código em vários diretórios do sistema, como “/Library/LaunchDaemons/com.startup.plist”, tornando assim a presença de OSX.Dummy no sistema bastante persistente.

Verhoef, o pesquisador que primeiro relatou as infecções por malware também acrescentou que:

O script bash (que executa um comando python) tenta se conectar a 185[.]243[.]115[.]230 no porto 1337 dentro de um loop e o código python cria um shell reverso. Para garantir a execução durante a inicialização, ele cria um daemon de inicialização. No momento, eu estava testando isso, o shell reverso falhou ao conectar.

Story relacionado: OSX.Coinminer Trojan - Como detectar e remover do seu Macbook

Por que o malware foi apelidado de OSX.Dummy?

Porque um dos diretórios onde a senha da vítima é despejada é chamado “/ Tmp / dumpdummy”. Outra razão é que o canal de infecção é um tanto monótono e pouco sofisticado e o tamanho do binário também é grande (e burro!) bem como o mecanismo de persistência e recursos gerais. Não obstante, após um ataque bem-sucedido, o malware pode se conectar ao seu servidor de comando e controle e assumir o controle do sistema comprometido, tornando-o não tão idiota, afinal.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo