El malware denominado OSX.Dummy utiliza un método de infección poco sofisticado, pero los usuarios que son atacados con éxito abren sus sistemas hasta la ejecución de código remota. Este malware tiene como objetivo ususarios que utilizan criptomonedas y que, además, utilizan plataformas como Slack y Discord. El investigador y experto en ciberseguridad Patrick Wardle comentó que el malware tiene privilegios de root, por lo que cuando éste conecta con el C2, se tiene un entorno privilegiado.

También comentó Wardle que se han visto varios ataques de malware en macOS que se originan en grupos de chats de Slack o Discord. Los atacantes seducen a los usuarios para que ejecuten un script que a su vez descarga el malware de 34 MB OSX.Dummy a través de cURL. La descarga se guarda en el directorio de macOS /tmp/script y luego se ejecuta. El archivo es un gran binario de 34 MB, el cual tiene 0 de 60 en VirusTotal. El script solía engañar a las víctimas para descargar el OSX.Dummy. El binario no está firmado, indica Wardle, agregando que el malware puede eludir Gatekeeper. Es curioso que este binario sería bloqueado por Gatekeeper, pero al ser un binario descargado y ejecutado desde la terminal de comandos, Gatekeeper no entra en juego, por lo que se permite ejecutar el software sin firmar.



A medida que se ejecuta el código binario, se hace uso de sudo, por lo que se necesita que el usuario introduzca sus credenciales en el terminal. A partir de ahí, el malware arroja código en varios directorios macOS, incluido /Library/LaunchDaemons/com.startup.plist, lo cual le proporciona a OSX.Dummy la persistencia. El script bash intenta conectarse a una dirección IP, la cual es 185.243.115.230 al puerto 1337. Wardle señala que si el ataque tiene éxito y el malware puede conectarse al C2, el atacante puede tomar el control del sistema objetivo.

Más información: https://threatpost.com/macos-malware-targets-crypto-community-on-slack-discord/133254/

Saludos.