Anslut till Senaste Tekniska Nyheter, Bloggar, Recensioner

Ny skadlig programvara för Mac riktar sig mot Cryptocoin-dummies

Ny skadlig programvara för Mac riktar sig mot Cryptocoin-dummies

Malware för Mac för dummies? Nej, det är inte den senaste volymen i Wileys bokserie.

OSX / Dummy är ny Mac-skadlig kod som grovt hänvisar till dess offer som dummies (mer specifikt “dumpdummy”).

Nedan kommer vi att täcka allt du behöver veta om det senaste hotet mot skadlig kod på MacOS.

OSX / Dummy’s Attack Vector

Hur sprider OSX / Dummy sig? Det har en ovanlig attackvektor, för att vara säker.

Chattgrupper med kryptovaluta som är värd på populära plattformar Slack och Discord har nyligen riktats in av en hotaktör. En förövare låtsas vara en chattgruppsadministratör eller någon viktig, och bjuder in chattdeltagare att köra ett kommando i terminalen på sina Mac-datorer för att förmodligen ”se till att [a] porten är öppen ”för att möjliggöra en kryptovalutatransaktion att avsluta behandlingen.

OSX / Dummy sprider sig via en rudimentär socialteknikattack. Bild: Remco Verhoef

När intet ont anande offer kör kommandot kan deras Mac smittas med den nya skadliga programvaran, OSX / Dummy.

Denna metod för infektion genom socialteknik, även om den är mycket rudimentär till sin karaktär, är förmodligen något smart genom att den kringgår Apples Gatekeeper-skydd. Gatekeeper ska blockera körning av känd-skadlig och osignerad kod som erhållits från Internet. Även om Gatekeeper kan blockera skadlig kod från vissa källor är den inte utformad för att blockera kod som laddas ner via terminalen.

Vad gör OSX / Dummy?

När användaren skriver sitt lösenord i terminalen loggar skadlig programvara det i klartext till en ny fil som finns på / tmp / dumpdummy.


Patrick Wardle visar att OSX / Dummy lagrar lösenord i klartext.

Skadlig kod skapar också en metod för uthållighet så att den kan överleva en omstart.

OSX / Dummy försöker sedan öppna en omvänd skalanslutning till en angriparstyrd dator. En framgångsrik anslutning med omvänd skal kan göra det möjligt för angriparen att utföra alla kommandon som de väljer på offrets Mac, med full rotprivilegier.

Med andra ord kan angriparen styra offrets Mac som en marionett – en dummy.

Angriparen kan till och med göra saker som att stjäla offrets kryptovalutaplånböcker (vilket kanske kan vara ett primärt mål i den här kampanjen, att döma av forumet som attackerats av angriparen).

Vad kan Mac-användare lära sig av detta?

Det viktigaste takeaway för Mac-användare är det din dator är inte oövervinnlig—Du måste vara lika försiktig som en Windows-användare för att förhindra att din dator smittas.

Bedrägerier byter ut dem som mest sannolikt är utsatta för deras blufftaktik, inklusive Mac-användare som kan vara alltför säkra på sin dators säkerhet eller alltför förtroende för människor i chattkanaler eller forum.

Och naturligtvis, kör inte terminalkommandon som du har hittat på någon slumpmässig plats online; de kan vara skadliga!

Är min Mac säker?

Tyvärr hindrar Apples inbyggda teknik som Gatekeeper och XProtect inte denna skadliga programvara från att infektera din Mac.

Intego VirusBarrier upptäcker och raderar dock OSX / Dummys filer, och Intego NetBarrier kan ge dig möjlighet att blockera den utgående nätverksanslutningen om någon ny skadlig programvara någonsin försöker ringa hem.

Om du inte har en anti-malware-svit installerad på din Mac kan du kontrollera om det finns följande filer för att se om din Mac för närvarande är infekterad:

/Library/LaunchDaemons/com.startup.plist
/tmp/com.startup.plist
/tmp/dumpdummy
/tmp/script.sh
/Users/Shared/dumpdummy
/var/root/script.sh

Nätverksadministratörer kan också kontrollera sina loggar för att se om några datorer har försökt ringa hem till IP-adressen 185.243.115.230 på port 1337.

Var kan jag lära mig mer?

Remco Verhoef var den första som publicerade en rapport om OSX / Dummy, och Patrick Wardle följde upp med ytterligare analys.

Var noga med att prenumerera på Mac-säkerhetsbloggen, de Intego Mac Podcast, och den Intego YouTube-kanal för att hålla dig informerad om de senaste säkerhetsnyheterna från Apple! Vi pratade om OSX / Dummy i avsnitt 38 av podcasten.

Dummyfoto av Andrew Malone. ”Akta dig för fickfickor” av Paris 16.

Om Joshua Long

Joshua Long (@theJoshMeister), Integos Chief Security Analyst, är en känd säkerhetsforskare, författare och talare. Josh har en magisterexamen i IT-koncentration inom Internetsäkerhet och har tagit doktorsexamen i informationssäkerhet. Apple har offentligt erkänt Josh för att ha upptäckt en sårbarhet för Apple ID-autentisering. Josh har genomfört cybersäkerhetsforskning i mer än 20 år, som ofta har presenterats av stora nyhetsbutiker världen över. Leta efter fler av Joshs artiklar på security.thejoshmeister.com och följ honom på Twitter. Visa alla inlägg av Joshua Long → Det här inlägget postades i Malware och taggade Mac, malware, OSX / Dummy, Social Engineering. Bokmärk permalänken.