MacOS

Aparece el malware OSX.Dummy para macOS en Slack

Malware macOS terminal

Si estais utilizando Slack para trabajar en equipo, y además manejáis criptomonedas, cuidado porque han lanzado el malware OSX.Dummy para macOS.

Investigadores de seguridad descubrieron recientemente cómo los atacantes usan malware macOS conocido como OSX.Dummy para localizar a inversores de criptomonedas que utilizan las plataformas de chat Slack y Discord. Las plataformas de chat son usadas por ciberdelincuentes que se hacen pasar por administradores para engañar a los usuarios.

La forma en que el malware se está distribuyendo no es tan sofisticada, según informa Sensors Tech Forum, pero los sistemas comprometidos siguen en riesgo de ejecución remota de código, lo que puede conducir a varios resultados maliciosos. Según Digita Security, tras una conexión exitosa con los servidores de comando y control de los atacantes, pueden ejecutar arbitrariamente comandos en hosts infectados en el nivel raíz.

¿Por qué el malware se le llamó OSX.Dummy?

Debido a que uno de los directorios donde se aloja la contraseña de la víctima se llama “/ tmp / dumpdummy” . Otra razón es que el canal de infección es bastante aburrido y poco sofisticado y el tamaño del binario también es grande (¡y tonto!), Así como el mecanismo de persistencia y las capacidades generales. Sin embargo, después de un ataque exitoso, el malware puede conectarse a su servidor de comando y control y tomar el control del sistema comprometido, por lo que no es tan tonto, después de todo.

¿Cómo actúa OSX.Dummy?

También otra buena pregunta sobre la seguridad de macOS. Esto ocurre mientras se ejecuta el binario, cuando un comando macOS sudo cambia los permisos del malware para rootear a través de Terminal. Esto requiere que el usuario ingrese su contraseña en la terminal. Como explica Apple, la ejecución de un comando sudo en Terminal requiere que el usuario inicie sesión con una cuenta de administrador protegida por contraseña.

Una vez que esto esté desactivado, OSX.Dummy cambia el código en varios directorios del sistema como “/Library/LaunchDaemons/com.startup.plist” , lo que hace que la presencia de OSX.Dummy en el sistema sea bastante persistente.

Verhoef, el investigador que primero informó las infecciones de malware también agregó que:

El script bash (que ejecuta un comando python) intenta conectarse a 185 [.] 243 [.] 115 [.] 230 en el puerto 1337 dentro de un bucle y el código python crea un shell inverso. Para garantizar la ejecución durante el inicio, crea un demonio de inicio. En el momento en que estaba probando esto, el shell inverso no pudo conectarse.

Esperemos que tanto Slack y Discord, implanten un sistema de seguridad superior en los chat, y veremos si Apple lanza un pequeño parche de seguridad al respecto.

Categoría
MacOS

Dí mi primer muerdo a una manzana con 10 años CEO de mecambioaMac
3 Comentarios en este post
  • jose luis menendez
    12 julio 2018 at 21:31

    Utilizo VirusBarrier de Intego. Según este antivirus tengo una aplicación infectada con ese virus OSX/Dummy.

    Se trata del programa que complementa al módulo de Firefox llamado Video DownloadHelper 7.3.4. Especificamente la versión 1.2.4 de net.downloadhelper.coapp.app que se encuentra en “https://www.downloadhelper.net/install-coapp?browser=firefox”.

    Ya me dió como positivo la versión anterior 1.2.3 la semana pasada. Actualizando a la versión actual 1.2.4 de la app, VirusBarrier ya no detectaba el virus. Hoy, actualizando las definiciones de Malware de VirusBarrier, vuelve a detectar la misma versión 1.2.4 como positivo con el virus OSX/Dummy. No es posible reparar, lo que parece hacer es borrar el contenido del fichero ejecutable de la app, con lo cual ya no hay aplicación. Lógico, pero entonces hay que esperar que se den cuenta del problema los desarrolladores del complemento de Firefox.

    Saludos,

  • mecambioaMac
    Mecambioamac
    16 julio 2018 at 01:05

    Buenas noches Jose Luis, Gracias por tu aporte. Esperemos que los desarrolladores de Video DownloadHelper presenten una solución cuanto antes, y esperemos que haya sido un falso aviso por parte del antivirus. Conocemos ese complemento, y es de gran utilidad. ¿Conseguiste enviarles un reporte del problema que te daba? Un saludo

  • Jose Luis Menendez
    27 julio 2018 at 19:00

    Había olvidado donde hice el comentario. Intenté enviarles el archivo, pero su sistema de reportes no permite ese tamaño. Ni tan siquiera el ejecutable únicamente, que es el que me da alerta, sin recursos adyacentes de la app.
    Al final creo haberles hecho un comentario en su blog, volveré a buscar y comprobar si me han dado alguna respuesta o lo intentaré de nuevo. De momento, retiré la aplicación pero no el módulo. Aunque estoy probando otras opciones, y quizás finalmente deje de usarlo.
    Saludos,
    Jose Luis

  • Deja una respuesta

    *

    *

    Suscríbete en Feedly

    Síguenos en feedly