新的macOS恶意软件目标加密

  • 时间:
  • 浏览:29
  • 来源:it300
新的macOS恶意软件目标加密 安全研究人员警告说,已经观察到一种新的macOS恶意软件通过加密货币相关的Slack或Discord聊天组进行分发。

上个月末首次详细说明恶意软件是由恶意攻击者分发的。冒充管理员或关键人物。演员与所述聊天组的成员共享小代码片段,并试图说服他们在终端中运行代码。

执行代码后,恶意二进制文件被下载并执行到受害者的机器上。尽管社交工程技巧并不复杂,但有些用户显然不喜欢它。

下载的有效载荷相当大,为34MB。截至周五,VirusTotal,Rem中的60个反病毒引擎中都没有检测到恶意软件co Verhoef,ISC Handler和DutchSec的创始人解释道。

恶意二进制文件未签名,Gatekeeper通常会标记并阻止它,但似乎Apple的保护措施不适用于直接通过终端命令执行的文件。

二进制文件如此之大的原因在于作者显然包含了OpenSSL和V8等库,Objective-See的Patrick Wardle,他将恶意软件命名为OSX.Dummy,并指出。

在目标计算机上执行时,恶意软件首先将脚本设置为root用户。当威胁执行sudo更改文件的权限时,系统会提示用户在终端中输入密码,恶意软件会将其窃取并保存到/tmp/dumpdummy。

下一步,OSX.Dummy设置脚本o可以通过chmod x执行,将脚本移动到新目录,将plist文件转储到/tmp/com.startup.plist,然后将其移动到LaunchDaemons目录,将文件的所有者设置为root,然后启动plist启动守护进程,持久性。

此时,恶意软件确保每当系统重新启动时,操作系统都会自动执行恶意脚本。

安全研究人员发现,Python脚本试图连接到185.243端口1337上的.115 [。] 230,然后“在使用-i标志执行/ bin / sh之前,将stdin,stdout和stderr复制到套接字。换句话说,它正在建立一个交互式反向壳,“Wardle指出。

一旦建立了与远程命令和控制(C C)服务器的连接,就可以了cker可以以root身份在受感染的计算机上执行任意命令。

然而,恶意软件的功能是有限的,感染过程的每一步都很容易被发现,Wardle说。

相关:macOS High Sierra以明文形式记录外部密码密码

相关:与网络间谍组相关的新macOS后门

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01