Ang bagong macOS Cyberattack ay Nakatuon sa Mga Namumuhunan sa Cryptocurrency

Alphr

Ang mga digital na kriminal na gumagamit ng isang piraso ng macOS-based malware na tinatawag na OSX. Tila ina-target ng matamis ang isang pangkat ng mga namumuhunan sa cryptocurrency na gumagamit ng Discord pati na rin ang mga gumagamit ng Slack. Ang OSX.Dummy ay hindi isang partikular na sopistikadong piraso ng software, ngunit tila pinapayagan nito ang di-makatwirang pagpapatupad ng code sa mga machine na maaari itong mai-embed.

Ang mga eksperto sa seguridad ng Unix ay unang nakakita ng ebidensya ng malware ilang araw na ang nakalilipas. Ang nangungunang mananaliksik na si Remco Verhoef ay iniulat ang kanyang mga natuklasan sa blog ng InfoSec ng SANS noong Biyernes, at ipinahiwatig ng kanyang post na mayroong isang serye ng mga pag-atake sa macOS noong nakaraang linggo.

Ang mga pangkat ng chat sa Slack at Discord ay nag-ulat ng mga taong gumagaya sa mga administrator ng system at tanyag na mga personalidad sa instant na pagmemensahe. Ang mga indibidwal na ginagaya nila ay kilala sa pagbibigay ng kapaki-pakinabang na mga app na batay sa cryptocurrency, na ginagawang mas madali para sa kanila na linlangin ang mga lehitimong gumagamit sa pag-install ng mapanganib na code.

Ang mga regular na gumagamit ay inaakit ng mga crackers upang magpatakbo ng isang napakaliit na script na nag-download ng isang mas malaking 34 megabyte file. Ang file na ito, na na-download sa pamamagitan ng curl CLI app, naglalaman ng OSX.Dummy software. Dahil ang mga pahintulot ng Unix ay maaaring hadlangan ang mga crackers sa ilang antas, natiyak nila na mai-save ang bagong pag-download sa isang pansamantalang direktoryo.

Dahil lumilitaw na ito ay isang regular na mach064 binary, maaari na itong maisagawa nang normal sa ilang degree sa isang macOS system. Ang mga site ng pag-scan sa online na social malware ay tila hindi ito naka-plug bilang isang banta, na maaaring hindi sinasadyang matulungan ang mga crackers na linlangin ang mga normal na gumagamit na isiping ligtas ito.

Karaniwan ang isang hindi naka-sign na binary file tulad ng naglalaman ng OSX. Hindi maaaring tumakbo ang Dammmy. Gayunpaman, ang mga subroutine ng macOS Gatekeepr security ay hindi suriin ang mga file na nai-download at pagkatapos ay eksklusibong tatakbo sa pamamagitan ng isang terminal. Dahil ang vector ng pag-atake ay nagsasangkot ng manu-manong paggamit ng prompt ng Unix command, ang Macintosh ng isang biktima ay wala nang mas marunong.

Ang isang tawag sa sudo pagkatapos ay mag-uudyok sa gumagamit na ipasok ang kanilang password sa pangangasiwa, tulad ng sa mga system ng GNU / Linux. Bilang isang resulta, makakakuha ang binary ng buong access sa napapailalim na file system ng isang gumagamit.

Ang malware pagkatapos ay kumokonekta sa isang C2 server, sa gayon potensyal na nagbibigay ng isang cracker control ng host machine. Sine-save din ng OSX.Dummy ang password ng biktima, minsan pa sa isang pansamantalang direktoryo para magamit sa hinaharap.