Alphr
Digitale kriminelle, der bruger et stykke macOS-baseret malware kaldet OSX.Dummy synes at være målrettet mod en gruppe cryptocurrency-investorer, der bruger Discord såvel som dem, der bruger Slack. OSX.Dummy er ikke et særligt sofistikeret stykke software, men det ser ud til at tillade vilkårlig kodeudførelse på maskiner, som det kan blive integreret i.
Unix sikkerhedseksperter fandt først bevis for malware for et par dage siden. Topforsker Remco Verhoef rapporterede sine fund på SANS 'InfoSec-blog tilbage fredag, og hans indlæg viste, at der var en række angreb på macOS i løbet af den sidste uge.
Chatgrupper på Slack og Discord har rapporteret personer, der efterligner systemadministratorer og populære instant messaging-personligheder. De personer, de efterligner, er kendt for at give nyttige cryptocurrency-baserede apps, hvilket gør det lettere for dem at narre legitime brugere til at installere skadelig kode.
Almindelige brugere lokkes derefter af crackere til at køre et meget lille script, der downloader en meget større 34 megabyte fil. Denne fil, der downloades via curl CLI-appen, indeholder OSX.Dummy-softwaren. Da Unix-tilladelser i nogen grad kan forhindre krakkere, har de sørget for at gemme den nye download i et midlertidigt bibliotek.
Da det ser ud til at være en almindelig mach064-binær, kan den derefter udføre normalt i en vis grad på et macOS-system. Online sociale malware-scanningssider ser ikke ud til at tilslutte det som en trussel endnu, hvilket måske utilsigtet hjælper crackere med at narre normale brugere til at tro, at det er sikkert.
Normalt vil en usigneret binær fil som den, der indeholder OSX.Dummy ikke være i stand til at køre. Imidlertid kontrollerer macOS Gatekeepr-sikkerhedsunderrutiner ikke filer, der downloades og køres derefter udelukkende via en terminal. Da angrebsvektoren involverer manuel brug af Unix-kommandoprompten, er et offers Macintosh ikke det klogere.
Et opkald til sudo beder derefter brugeren om at indtaste deres administratoradgangskode, ligesom det ville gøre det på GNU / Linux-systemer. Som et resultat kan binærsystemet derefter få fuld adgang til en brugers underliggende filsystem.
Malwaren opretter derefter forbindelse til en C2-server, hvilket potentielt giver en cracker kontrol over værtsmaskinen. OSX.Dummy gemmer også offerets adgangskode igen i en midlertidig mappe til fremtidig brug.
Mærker Apple-sikkerhed macOS
