Новият macOS Cyberattack се фокусира върху инвеститорите в криптовалута

Алфр

Цифровите престъпници, които използват част от базиран на macOS зловреден софтуер, наречен OSX.Dummy изглежда са насочени към група инвеститори в криптовалута, които използват Discord, както и към тези, които използват Slack. OSX.Dummy не е особено сложен софтуер, но изглежда позволява произволно изпълнение на код на машини, в които може да се вгради.

Експертите по сигурността на Unix за първи път намериха доказателства за злонамерения софтуер преди няколко дни. Най-добрият изследовател Ремко Верхоеф докладва за своите открития в блога на SANS InfoSec още в петък, а публикацията му посочва, че има поредица от атаки срещу macOS през последната седмица.

Групите за чат в Slack и Discord съобщават за хора, които се представят за системни администратори и популярни личности за незабавни съобщения. Лицата, за които се представят, са известни с това, че издават полезни приложения, базирани на криптовалута, което им улеснява да подлъгват законните потребители да инсталират вреден код.

След това редовните потребители биват примамвани от крекери да изпълняват много малък скрипт, който изтегля много по-голям 34 мегабайт файл. Този файл, който се изтегля чрез приложението curl CLI, съдържа софтуера OSX.Dummy. Тъй като разрешенията на Unix могат да осуетят до известна степен крекерите, те са се погрижили да запазят новото изтегляне във временна директория.

Тъй като изглежда, че е обикновен двоичен файл mach064, той може да изпълнява нормално до известна степен на система macOS. Изглежда, че сайтовете за онлайн сканиране на социален зловред не го включват като заплаха, което може неволно да помогне на крекерите да подмамят нормалните потребители да мислят, че е безопасно.

Обикновено неподписан двоичен файл като този, който съдържа OSX.Dummy не би могъл да се стартира. Подпрограмите за сигурност на macOS Gatekeepr обаче не проверяват файлове, които се изтеглят и след това се изпълняват изключително чрез терминал. Тъй като векторът за атака включва ръчно използване на командния ред на Unix, Macintosh на жертвата не е по-мъдър.

След това извикване на sudo подканва потребителя да въведе своята административна парола, точно както би направил в системите GNU / Linux. В резултат на това двоичният файл може да получи пълен достъп до основната файлова система на потребителя.

След това зловредният софтуер се свързва със сървър C2, като по този начин потенциално дава контрол на хакерството на хост машината. OSX.Dummy също запазва паролата на жертвата, отново във временна директория за бъдеща употреба.