Хакеры заражают покупателей криптовалюты вредоносной программой для macOS. Зловред, получившей прозвище OSX.Dummy (от англ. dummy — «тупица»), обнаружили исследователи Ремко Ферхуф (Remco Verhoef) и Патрик Уордл (Patrick Wardle). Несмотря на простейший метод инфицирования, при успехе атакующий получает возможность удаленно выполнять код и получить root-привилегии.

Распространители программы притворяются известными пользователями или администраторами групп на платформах Slack или Discord, посвященных криптовалютам. Преступник делился небольшими фрагментами кода, которые загружали неподписанный вредоносный файл.

Исполняемый файл сохраняется в директорию macOS/tmp/script и начинает работу, обходя Gatekeeper — встроенное в macOS решение безопасности, запрещающее запуск неподписанных программ. Бездействие защиты объясняется тем, что загрузка происходит напрямую через команды Terminal, к которым не применяется запрет Gatekeeper.

После запуска вредоноса выполняется еще одна команда — sudo, которая повышает привилегии злоумышленников до уровня root. Согласно политике безопасности Apple, для выполнения sudo требуется вход в учетную запись администратора. Следовательно, пользователь может вовремя обнаружить и предотвратить компрометацию устройства.

Однако если жертва все же ввела требуемые логин и пароль, то OSX.Dummy распространит свой код по разным директориям. К примеру, прописка в папке /Library/LaunchDaemons/com.startup.plist дает ему возможность автозапуска.

Затем скрипт bash (который исполняет команду на Python) пытается соединиться с IP-адресом 185[.]243[.]115[.]230 через порт 1337 и создает обратную оболочку. Однако исследователи отмечают, что во время тестирования программа так и не смогла установить соединение.

Именно Уордл придумал прозвище OSX.Dummy, поскольку одна из директорий, куда сбрасывался пароль жертвы, называлась /tmp/dumpdummy. Он привел и другие доводы.

«Я назвал этот вредонос OSX.Dummy, потому что метод заражения у него крайне безыскусен, огромный размер загружаемого файла нелеп, возможности довольно ограничены, а механизм обеспечения выживаемости после перезагрузки примитивен. К тому же его просто обнаружить на каждом этапе заражения», — заключил специалист.

Категории: Аналитика, Вредоносные программы