Os hackers estão direcionando os usuários de criptomoeda com um novo malware projetado para o macOS, fazendo com que as vítimas nos grupos Slack ou Discord se infectem com um script malicioso.
Posicionando-se como administradores de grupo em fóruns de criptomoedas e fóruns de discussão, os agentes maliciosos compartilham um script e incentivam os usuários a copiá-lo e colá-lo em uma janela do Terminal em seus Macs, disfarçados como conselhos úteis.
O comando, uma vez inserido, baixa uma carga útil de 34 megabytes de um servidor remoto e concede acesso clandestino à máquina infectada, segundo Remco Verhoef, da SANS, que descobriu a ameaça pela primeira vez.
Mais tarde apelidado de OSX.Dummy pelo especialista em malwares Patrick Wardle por uma série de razões, a infecção é capaz de contornar o Gatekeeper, uma camada adicional de segurança no MacOS X, se habilitado diretamente através de comandos de terminal, apesar de ser um código não assinado. deveria, em teoria, ser imediatamente detectado.
Entre as observações de Wardle, ele observou que “o método de infecção é burro, o tamanho massivo do binário é burro, o mecanismo de persistência é manco (e, portanto, também burro)” e “as capacidades são bastante limitadas”.
O grande binário tenta criptografar sua comunicação com o servidor original e, uma vez executado, tenta elevar seus direitos na máquina infectada. A partir daí, parece não haver mais que criar um arquivo de script de shell e um daemon de ativação para mantê-lo em execução.
Apesar de o malware não ser particularmente excepcional, de acordo com Thomas Reed, diretor de Mac e celular da Malwarebytes, o método de distribuição é interessante, dada a frequência com que as pessoas nos fóruns dão instruções que envolvem a execução de comandos de terminal linha por linha.
“Houve outros casos no passado de scripts que foram realmente mal-intencionados”, escreveu ele no blog oficial da empresa de segurança cibernética.
“O mais conhecido deles foi um truque infame em que os usuários foram instruídos a executar o seguinte comando para curar qualquer problema que estivessem tendo: sudo rm -rf /. Infelizmente para usuários que realmente seguiram instruções como essas, esse comando realmente apaga o disco rígido.
“Assim, há precedentes para desconfiar de scripts de shell publicados on-line, e mesmo assim, muitas pessoas ainda executam scripts altamente suspeitos sem cuidado. Os leitores são encorajados a educar os usuários sobre os perigos desse comportamento em todas as oportunidades.”
O arquivo executável também pede uma senha quando executado pela primeira vez, o que pode ser visto como um comportamento normal do sudo, mas é na verdade o malware roubando a senha do usuário, que é armazenada em pequenos arquivos de dados chamados ‘dumpdummy’ nos Macs infectados.
Isso representa uma “séria ameaça à segurança”, e dado que o arquivo em si não é malicioso, provavelmente não será detectado pela maioria dos softwares antivírus, se é que existe algum. Remover a infecção, portanto, não removerá necessariamente os arquivos “dumpdummy”.
Os analistas envolvidos ainda não conseguiram determinar os objetivos dos invasores, mas, considerando que o malware concede a um hacker a capacidade de executar o código de linha de comando como usuário root e que os usuários de criptomoeda estão sendo direcionados, eles provavelmente são motivados pelo roubo de criptomoedas.
