MacOS

Aparece el malware OSX.Dummy para macOS en Slack

Malware macOS terminal

Si estais utilizando Slack para trabajar en equipo, y además manejáis criptomonedas, cuidado porque han lanzado el malware OSX.Dummy para macOS.

Investigadores de seguridad descubrieron recientemente cómo los atacantes usan malware macOS conocido como OSX.Dummy para localizar a inversores de criptomonedas que utilizan las plataformas de chat Slack y Discord. Las plataformas de chat son usadas por ciberdelincuentes que se hacen pasar por administradores para engañar a los usuarios.

La forma en que el malware se está distribuyendo no es tan sofisticada, según informa Sensors Tech Forum, pero los sistemas comprometidos siguen en riesgo de ejecución remota de código, lo que puede conducir a varios resultados maliciosos. Según Digita Security, tras una conexión exitosa con los servidores de comando y control de los atacantes, pueden ejecutar arbitrariamente comandos en hosts infectados en el nivel raíz.

¿Por qué el malware se le llamó OSX.Dummy?

Debido a que uno de los directorios donde se aloja la contraseña de la víctima se llama “/ tmp / dumpdummy” . Otra razón es que el canal de infección es bastante aburrido y poco sofisticado y el tamaño del binario también es grande (¡y tonto!), Así como el mecanismo de persistencia y las capacidades generales. Sin embargo, después de un ataque exitoso, el malware puede conectarse a su servidor de comando y control y tomar el control del sistema comprometido, por lo que no es tan tonto, después de todo.

¿Cómo actúa OSX.Dummy?

También otra buena pregunta sobre la seguridad de macOS. Esto ocurre mientras se ejecuta el binario, cuando un comando macOS sudo cambia los permisos del malware para rootear a través de Terminal. Esto requiere que el usuario ingrese su contraseña en la terminal. Como explica Apple, la ejecución de un comando sudo en Terminal requiere que el usuario inicie sesión con una cuenta de administrador protegida por contraseña.

Una vez que esto esté desactivado, OSX.Dummy cambia el código en varios directorios del sistema como “/Library/LaunchDaemons/com.startup.plist” , lo que hace que la presencia de OSX.Dummy en el sistema sea bastante persistente.

Verhoef, el investigador que primero informó las infecciones de malware también agregó que:

El script bash (que ejecuta un comando python) intenta conectarse a 185 [.] 243 [.] 115 [.] 230 en el puerto 1337 dentro de un bucle y el código python crea un shell inverso. Para garantizar la ejecución durante el inicio, crea un demonio de inicio. En el momento en que estaba probando esto, el shell inverso no pudo conectarse.

Esperemos que tanto Slack y Discord, implanten un sistema de seguridad superior en los chat, y veremos si Apple lanza un pequeño parche de seguridad al respecto.

Categoría
MacOS

Dí mi primer muerdo a una manzana con 10 años CMO y COO de mecambioaMac
2 Comentarios en este post
  • jose luis menendez
    12 julio 2018 at 21:31

    Utilizo VirusBarrier de Intego. Según este antivirus tengo una aplicación infectada con ese virus OSX/Dummy.

    Se trata del programa que complementa al módulo de Firefox llamado Video DownloadHelper 7.3.4. Especificamente la versión 1.2.4 de net.downloadhelper.coapp.app que se encuentra en “https://www.downloadhelper.net/install-coapp?browser=firefox”.

    Ya me dió como positivo la versión anterior 1.2.3 la semana pasada. Actualizando a la versión actual 1.2.4 de la app, VirusBarrier ya no detectaba el virus. Hoy, actualizando las definiciones de Malware de VirusBarrier, vuelve a detectar la misma versión 1.2.4 como positivo con el virus OSX/Dummy. No es posible reparar, lo que parece hacer es borrar el contenido del fichero ejecutable de la app, con lo cual ya no hay aplicación. Lógico, pero entonces hay que esperar que se den cuenta del problema los desarrolladores del complemento de Firefox.

    Saludos,

  • Mecambioamac
    Mecambioamac
    16 julio 2018 at 01:05

    Buenas noches Jose Luis, Gracias por tu aporte. Esperemos que los desarrolladores de Video DownloadHelper presenten una solución cuanto antes, y esperemos que haya sido un falso aviso por parte del antivirus. Conocemos ese complemento, y es de gran utilidad. ¿Conseguiste enviarles un reporte del problema que te daba? Un saludo

  • Deja una respuesta

    *

    *

    Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

    Suscríbete en Feedly

    Síguenos en feedly