8 de julio de 2018

OSX.DUMMY. Malware "tonto" para macOS que pone el objetivo en los usuarios de criptodivisas

El malware ha sido descubierto por el investigador Remco Verhoef (@remco_verhoef) y analizado en profundidad por Patrick Wardle (@patrickwardle). Utiliza métodos bastante simples de infección y persistencia y pone el blanco sobre los usuarios de criptodivisas.
Hoy hemos analizado una nueva muestra de malware para Mac. Lo he llamado OSX.Dummy porque:
  • El método de infección es estúpido.
  • El enorme tamaño del binario es estúpido.
  • El mecanismo de persistencia es patético (y por tanto también estúpido).
  • Las capacidades son más bien limitadas (y por tanto, más bien estúpidas).
  • Es trivial detectarlo en cada paso (es así de estúpido).
  • Y, finalmente, porque guarda la contraseña del usuario en el fichero 'dumpdummy'.
Y así ha sido el bautizo de OSX.Dummy. El malware fue señalado en primera instancia por Remco Verhoef en el artículo "Crypto community target of MacOS malware" para el Internet Storm Center del instituto SANS. En el articulo, Verhoef comenta que durante los últimos días había notado un aumento de mensajes en grupos de Slack y Discord haciéndose pasar por miembros importantes de los mismos. Estos mensajes pedían ejecutar este script:
De forma que la victima se infectara a si misma, en un intento bastante ingenuo ("El método de infección es estúpido"). Este script descarga un fichero MachO de 34 MB ("El enorme tamaño del binario es estúpido"). A la hora de su articulo, no era detectado por ningún motor anti-virus. A día de hoy, ya son 4 motores los que lo señalan como malware.
El análisis de la muestra realizado por Verhoef mostraba referencias a Pkg, un empaquetador que une aplicaciones JavaScript y el servidor node.js en un único ejecutable. El análisis del comportamiento de la muestra arroja la generación de varios ficheros con el objetivo de asegurar la persistencia del malware ("El mecanismo de persistencia es patético"). 
En cada inicio se ejecuta el fichero '/var/root/script', cuyo el objetivo es conectarse al punto de control para establecer una shell inversa para poder ejecutar comandos como superusuario de forma remota.
En este punto es donde Patrick Wardle toma el relevo y, además de bautizarlo como hemos visto al principio, encuentra algunos datos interesantes adicionales:
  • El fichero '/tmp/dumpdummy' (ya mencionado por Verhoef) sirve para almacenar la contraseña de sudo.
  • El binario no está firmado. Estos binarios serían bloqueados por GateKeeper en una situación normal. Sin embargo, al ejecutarse a través de linea de comandos, GateKeeper no lo analiza.
  • El tamaño del binario es debido a que varias librerías, como OpenSSL y V8 de Google, se encuentran compiladas estáticamente.
A pesar de ambos análisis, aun está por descubrir por qué el atacante tenía como objetivo la comunidad de usuarios de criptodivisas, ya que el malware no tiene ninguna funcionalidad especifica para las mismas.
Más información:
Fuente: Hispasec