El malware ha sido
descubierto por el investigador Remco Verhoef (@remco_verhoef) y analizado en
profundidad por Patrick Wardle (@patrickwardle). Utiliza métodos bastante
simples de infección y persistencia y pone el blanco sobre los usuarios de
criptodivisas.
Hoy hemos analizado
una nueva muestra de malware para Mac. Lo he llamado OSX.Dummy porque:
- El método de
infección es estúpido.
- El enorme tamaño
del binario es estúpido.
- El mecanismo de
persistencia es patético (y por tanto también estúpido).
- Las capacidades
son más bien limitadas (y por tanto, más bien estúpidas).
- Es trivial
detectarlo en cada paso (es así de estúpido).
- Y, finalmente,
porque guarda la contraseña del usuario en el fichero 'dumpdummy'.
Y así ha sido el
bautizo de OSX.Dummy. El malware fue señalado en primera instancia por Remco
Verhoef en el artículo "Crypto community target of MacOS malware"
para el Internet Storm Center del instituto SANS. En el articulo, Verhoef
comenta que durante los últimos días había notado un aumento de mensajes en
grupos de Slack y Discord haciéndose pasar por miembros importantes de los
mismos. Estos mensajes pedían ejecutar este script:
De forma que la
victima se infectara a si misma, en un intento bastante ingenuo ("El
método de infección es estúpido"). Este script descarga un fichero MachO
de 34 MB ("El enorme tamaño del binario es estúpido"). A la hora de
su articulo, no era detectado por ningún motor anti-virus. A día de hoy, ya son
4 motores los que lo señalan como malware.
El análisis de la
muestra realizado por Verhoef mostraba referencias a Pkg, un empaquetador que
une aplicaciones JavaScript y el servidor node.js en un único ejecutable. El
análisis del comportamiento de la muestra arroja la generación de varios
ficheros con el objetivo de asegurar la persistencia del malware ("El
mecanismo de persistencia es patético").
En cada inicio se
ejecuta el fichero '/var/root/script', cuyo el objetivo es conectarse al punto
de control para establecer una shell inversa para poder ejecutar comandos como
superusuario de forma remota.
En este punto es
donde Patrick Wardle toma el relevo y, además de bautizarlo como hemos visto al
principio, encuentra algunos datos interesantes adicionales:
- El fichero
'/tmp/dumpdummy' (ya mencionado por Verhoef) sirve para almacenar la
contraseña de sudo.
- El binario no
está firmado. Estos binarios serían bloqueados por GateKeeper en una
situación normal. Sin embargo, al ejecutarse a través de linea de
comandos, GateKeeper no lo analiza.
- El tamaño del
binario es debido a que varias librerías, como OpenSSL y V8 de Google, se
encuentran compiladas estáticamente.
A pesar de ambos
análisis, aun está por descubrir por qué el atacante tenía como objetivo la
comunidad de usuarios de criptodivisas, ya que el malware no tiene ninguna
funcionalidad especifica para las mismas.
Más información:
- Crypto community target of MacOS malware: https://isc.sans.edu/diary/23816
- OSX.Dummy: new mac malware targets the
cryptocurrency community https://objective-see.com/blog/blog_0x32.html
Fuente: Hispasec