Альфр
Цифровые преступники, использующие вредоносное ПО для MacOS под названием OSX.Dummy, похоже, нацелены на группу инвесторов в криптовалюту, которые используют Discord, а также тех, кто использует Slack. OSX.Dummy - не особо сложная программа, но, похоже, она позволяет выполнять произвольный код на машинах, в которые она может быть встроена.
Эксперты по безопасности Unix впервые обнаружили доказательства наличия вредоносного ПО несколько дней назад. Ведущий исследователь Ремко Верхоф сообщил о своих выводах в блоге SANS InfoSec еще в пятницу, и в его сообщении указано, что на прошлой неделе произошла серия атак на macOS.
Чат-группы в Slack и Discord сообщают о людях, которые выдают себя за системных администраторов и популярных личностей для обмена мгновенными сообщениями. Люди, которых они выдают за другое лицо, известны тем, что раздают полезные приложения на основе криптовалюты, что позволяет им обмануть законных пользователей и установить вредоносный код.
Затем взломщики соблазняют обычных пользователей запустить очень маленький сценарий, который загружает файл размером 34 мегабайта. Этот файл, который загружается через приложение curl CLI, содержит программное обеспечение OSX.Dummy. Поскольку разрешения Unix могут до некоторой степени препятствовать взломщикам, они позаботились о сохранении новой загрузки во временном каталоге.
Поскольку он выглядит как обычный двоичный файл mach064, он может в некоторой степени нормально выполняться в системе macOS. Сайты, занимающиеся сканированием социальных сетей на вредоносное ПО, пока не считают его угрозой, что может случайно помочь взломщикам заставить обычных пользователей думать, что это безопасно.
Обычно двоичный файл без подписи, такой как тот, который содержит OSX.Dummy, не может быть запущен. Однако подпрограммы безопасности macOS Gatekeepr не проверяют файлы, которые загружаются и запускаются исключительно через терминал. Поскольку вектор атаки предполагает использование командной строки Unix вручную, Macintosh жертвы не в состоянии.
Затем при вызове sudo пользователю предлагается ввести пароль администратора, как в системах GNU / Linux. В результате двоичный файл может получить полный доступ к базовой файловой системе пользователя.
Затем вредоносная программа подключается к серверу C2, потенциально давая взломщику контроль над хост-машиной. OSX.Dummy также сохраняет пароль жертвы еще раз во временном каталоге для использования в будущем.
Теги Безопасность Apple macOS
