Az új macOS Cyberattack a kriptovaluta befektetőkre összpontosít

Alphr

Az OSX nevű macOS alapú rosszindulatú programot használó digitális bűnözők úgy tűnik, hogy a Discordot használó kriptovaluta befektetők egy csoportját célozzák meg, valamint azokat, akik a Slacket használják. Az OSX.Dummy nem különösebben kifinomult szoftver, de úgy tűnik, hogy önkényes kódfuttatást tesz lehetővé olyan gépeken, amelyekbe be lehet ágyazni.

A Unix biztonsági szakértői néhány nappal ezelőtt találtak először bizonyítékot a rosszindulatú programra. Remco Verhoef csúcskutató pénteken számolt be eredményeiről a SANS InfoSec blogján, és bejegyzéséből kiderült, hogy a múlt héten számos támadás történt a macOS ellen.

A Slack és a Discord csevegőcsoportjai olyan emberekről számoltak be, akik a rendszergazdákat és a népszerű azonnali üzenetküldő személyiségeket adják vissza. Azok a személyek, akiket megszemélyesítenek, hasznos kriptovaluta-alapú alkalmazásokat adnak ki, ami megkönnyíti számukra a törvényes felhasználók becsapását a káros kódok telepítésébe.

A rendszeres felhasználókat ezután a crackerek csábítják, hogy futtassanak egy nagyon kicsi szkriptet, amely sokkal nagyobb, 34 megabájtos fájlt tölt le. Ez a fájl, amelyet a curl CLI alkalmazáson keresztül töltenek le, tartalmazza az OSX.Dummy szoftvert. Mivel a Unix-engedélyek bizonyos mértékben meghiúsíthatják a crackereket, gondoskodtak arról, hogy az új letöltést ideiglenes könyvtárba mentsék.

Mivel úgy tűnik, hogy ez egy rendes mach064 bináris fájl, akkor bizonyos fokig normálisan tud végrehajtani egy macOS rendszeren. Úgy tűnik, hogy az online közösségi rosszindulatú programokat vizsgáló webhelyek egyelőre nem fenyegetik ezt fenyegetésként, ami akaratlanul is elősegítheti a kekszet, hogy a normál felhasználókat arra gondolják, hogy ez biztonságos.

Általában egy olyan aláíratlan bináris fájl, mint amely az OSX-t tartalmazza, nem képes futtatni. A macOS Gatekeepr biztonsági alprogramjai azonban nem ellenőrzik a letöltött fájlokat, majd kizárólag egy terminálon keresztül futnak. Mivel a támadási vektor magában foglalja a Unix parancssor manuális használatát, az áldozat Macintosh-ja sem bölcsebb.

Ezután a sudo felhívása arra kéri a felhasználót, hogy adja meg adminisztrációs jelszavát, ugyanúgy, mint a GNU / Linux rendszereken. Ennek eredményeként a bináris fájl ezután teljes hozzáférést nyerhet a felhasználó mögöttes fájlrendszeréhez.

A kártevő ekkor csatlakozik egy C2 szerverhez, így potenciálisan cracker-vezérlést adhat a gazdagépre. Az OSX.Dummy az áldozat jelszavát is elmenti, még egyszer egy ideiglenes könyvtárba, későbbi felhasználás céljából.