OSX.Dummy: el malware “tonto” para macOS que pone el objetivo en los usuarios de criptodivisas
Hoy hemos analizado una nueva muestra de malware para Mac. Lo he llamado OSX.Dummy porque:
- El método de infección es estúpido.
- El enorme tamaño del binario es estúpido.
- El mecanismo de persistencia es patético (y por tanto también estúpido).
- Las capacidades son más bien limitadas (y por tanto, más bien estúpidas).
- Es trivial detectarlo en cada paso (es así de estúpido).
- … Y, finalmente, porque guarda la contraseña del usuario en el fichero ‘dumpdummy’.
Y así ha sido el bautizo de OSX.Dummy. El malware fue señalado en primera instancia por Remco Verhoef en el artículo “Crypto community target of MacOS malware” para el Internet Storm Center del instituto SANS. En el articulo, Verhoef comenta que durante los últimos días había notado un aumento de mensajes en grupos de Slack y Discord haciéndose pasar por miembros importantes de los mismos. Estos mensajes pedían ejecutar este script:
En cada inicio se ejecuta el fichero ‘/var/root/script’, cuyo el objetivo es conectarse al punto de control para establecer una shell inversa para poder ejecutar comandos como superusuario de forma remota.
En este punto es donde Patrick Wardle toma el relevo y, además de bautizarlo como hemos visto al principio, encuentra algunos datos interesantes adicionales:
- El fichero ‘/tmp/dumpdummy’ (ya mencionado por Verhoef) sirve para almacenar la contraseña de sudo.
- El binario no está firmado. Estos binarios serían bloqueados por GateKeeper en una situación normal. Sin embargo, al ejecutarse a través de linea de comandos, GateKeeper no lo analiza.
- El tamaño del binario es debido a que varias librerías, como OpenSSL y V8 de Google, se encuentran compiladas estáticamente.
Crypto community target of MacOS malware:
https://isc.sans.edu/diary/23816
OSX.Dummy: new mac malware targets the cryptocurrency community
https://objective-see.com/blog/blog_0x32.html
Powered by WPeMatico