Aparece el malware OSX.Dummy para macOS en Slack

Malware macOS terminal

Si estais utilizando Slack para trabajar en equipo, y además manejáis criptomonedas, cuidado porque han lanzado el malware OSX.Dummy para macOS.

Investigadores de seguridad descubrieron recientemente cómo los atacantes usan malware macOS conocido como OSX.Dummy para localizar a inversores de criptomonedas que utilizan las plataformas de chat Slack y Discord. Las plataformas de chat son usadas por ciberdelincuentes que se hacen pasar por administradores para engañar a los usuarios.

La forma en que el malware se está distribuyendo no es tan sofisticada, según informa Sensors Tech Forum, pero los sistemas comprometidos siguen en riesgo de ejecución remota de código, lo que puede conducir a varios resultados maliciosos. Según Digita Security, tras una conexión exitosa con los servidores de comando y control de los atacantes, pueden ejecutar arbitrariamente comandos en hosts infectados en el nivel raíz.

¿Por qué el malware se le llamó OSX.Dummy?

Debido a que uno de los directorios donde se aloja la contraseña de la víctima se llama «/ tmp / dumpdummy» . Otra razón es que el canal de infección es bastante aburrido y poco sofisticado y el tamaño del binario también es grande (¡y tonto!), Así como el mecanismo de persistencia y las capacidades generales. Sin embargo, después de un ataque exitoso, el malware puede conectarse a su servidor de comando y control y tomar el control del sistema comprometido, por lo que no es tan tonto, después de todo.

¿Cómo actúa OSX.Dummy?

También otra buena pregunta sobre la seguridad de macOS. Esto ocurre mientras se ejecuta el binario, cuando un comando macOS sudo cambia los permisos del malware para rootear a través de Terminal. Esto requiere que el usuario ingrese su contraseña en la terminal. Como explica Apple, la ejecución de un comando sudo en Terminal requiere que el usuario inicie sesión con una cuenta de administrador protegida por contraseña.

Una vez que esto esté desactivado, OSX.Dummy cambia el código en varios directorios del sistema como «/Library/LaunchDaemons/com.startup.plist» , lo que hace que la presencia de OSX.Dummy en el sistema sea bastante persistente.

Verhoef, el investigador que primero informó las infecciones de malware también agregó que:

El script bash (que ejecuta un comando python) intenta conectarse a 185 [.] 243 [.] 115 [.] 230 en el puerto 1337 dentro de un bucle y el código python crea un shell inverso. Para garantizar la ejecución durante el inicio, crea un demonio de inicio. En el momento en que estaba probando esto, el shell inverso no pudo conectarse.

Esperemos que tanto Slack y Discord, implanten un sistema de seguridad superior en los chat, y veremos si Apple lanza un pequeño parche de seguridad al respecto.

Salir de la versión móvil