Os pesquisadores de segurança recentemente descobri como os atacantes estão usando MacOS malware conhecido como OSX.Dummy aos investidores alvo criptomoeda usando o Slack e plataformas de bate-papo desacordo. As plataformas de bate-papo são abusadas por cibercriminosos que está representando os administradores para usuários truque.
A forma como o malware está sendo distribuído não é tão sofisticada, mas os sistemas comprometidos permanecem em risco de execução remota de código, o que pode levar a vários resultados maliciosos. De acordo com a Digita Security, após uma conexão bem-sucedida com os servidores de comando e controle dos invasores, eles são capazes de executar comandos arbitrariamente em hosts infectados no nível raiz.
OSX.Dummy, Plataformas de bate-papo Slack e Discord - como os ataques acontecem
O primeiro pesquisador a descobrir o malware OSX.Dummy foi Remco Verhoef, que compartilhou seu descoberta com o SANS Infosec Handlers Diary Blog. Isto é o que ele disse:
Nos dias anteriores, vimos vários ataques de malware MacOS, originados em grupos de bate-papos do Slack ou Discord relacionados à criptografia, fazendo-se passar por administradores ou pessoas-chave. Pequenos trechos são compartilhados, resultando no download e execução de um binário malicioso.
Os usuários são enganados para executar um script que baixa o malware OSX.Dummy usando cURL. O arquivo baixado é salvo no diretório macOS / tmp / script e, em seguida, executado. “O arquivo é um grande binário mach064 (34M), avaliando uma pontuação perfeita de 0/60 no VirusTotal,”Disse o pesquisador. O binário do malware não tem sinal e é obviamente capaz de ignorar o macOS Gatekeeper, o que deve impedir que software não assinado seja baixado e executado.
Como isso é possível? Se o usuário estiver baixando e executando um binário usando comandos de terminal, O gatekeeper não está ativado e o binário não assinado é executado sem problemas. Isso significa simplesmente que as proteções e atenuações integradas do macOS não são suficientes e não devem ser confiadas cegamente, nota pesquisadores.
Como as permissões de encadeamento OSX.Dummy para root?
Outra boa pergunta sobre a segurança do macOS. Isso acontece enquanto o binário é executado, quando um comando macOS sudo altera as permissões do malware para fazer root via Terminal. Isso requer que o usuário digite sua senha no terminal. Conforme explicado pela Apple, a execução de um comando sudo no Terminal exige que o usuário esteja conectado com uma conta de administrador protegida por senha.
Quando isso acabar, OSX.Dummy descarta código em vários diretórios do sistema, como “/Library/LaunchDaemons/com.startup.plist”, tornando assim a presença de OSX.Dummy no sistema bastante persistente.
Verhoef, o pesquisador que primeiro relatou as infecções por malware também acrescentou que:
O script bash (que executa um comando python) tenta se conectar a 185[.]243[.]115[.]230 no porto 1337 dentro de um loop e o código python cria um shell reverso. Para garantir a execução durante a inicialização, ele cria um daemon de inicialização. No momento, eu estava testando isso, o shell reverso falhou ao conectar.
Por que o malware foi apelidado de OSX.Dummy?
Porque um dos diretórios onde a senha da vítima é despejada é chamado “/ Tmp / dumpdummy”. Outra razão é que o canal de infecção é um tanto monótono e pouco sofisticado e o tamanho do binário também é grande (e burro!) bem como o mecanismo de persistência e recursos gerais. Não obstante, após um ataque bem-sucedido, o malware pode se conectar ao seu servidor de comando e controle e assumir o controle do sistema comprometido, tornando-o não tão idiota, afinal.