O mundo do malware macOS tem um novo membro que não faz esforço para manter as aparências e se parece com uma versão básica que ainda está em desenvolvimento.
Sua funcionalidade é limitada a tirar screenshots e rodar um backdoor. Isso, juntamente com a falta de uma fachada adequada, ganhou o nome de OSX.LamePyre.
Disfarçado de uma cópia do aplicativo de mensagens Discord para gamers, o malware foi descoberto na última sexta-feira pelo pesquisador de ameaças da Malwarebytes, Adam Thomas , que percebeu que o disfarce não foi além da ocultação inicial.
Ele diz que "esta cópia do Discord não parecia fazer nada, porque na verdade era um script do Automator que não fez nada para o usuário".
Nada além de um ícone genérico
Quando o LamePyre é executado no sistema, os usuários vêem o ícone genérico do Automator na barra de menus, o que é típico de qualquer script desse tipo.
O script decodifica uma carga útil escrita em Python e a executa no host da vítima. Em seguida, ele começa a tirar fotos e carregá-las no servidor de comando e controle (C2) do invasor.
Thomas notou que uma parte do código Python foi escrita para configurar o backdoor EmPyre de código aberto no sistema. Este backdoor específico foi visto com outra variedade de malware para o macOS, o DarthMiner , que integrou recursos de mineração com criptomoeda .
O LamePyre parece ser um trabalho ruim ou uma ameaça em desenvolvimento, pois não inclui funcionalidades que permitiriam que ele passasse como um mensageiro Discord legítimo.
"Não é uma cópia modificada de forma maliciosa do aplicativo Discord. Ele nem inclui e lança uma cópia do aplicativo Discord, que poderia ser feito facilmente como um subterfúgio para que o aplicativo parecesse legítimo. Não importa. nem use um ícone convincente! " Malwarebytes diz .
Para manter o código malicioso em execução, o autor incluiu o código que configura um agente de ativação com o nome enganoso 'com.apple.systemkeeper.plist'.
Dado o comportamento do malware, é provável que os usuários não percebam que algo está fora de lugar em breve e que o LamePyre já teria aberto o backdoor e entregado algumas imagens ao atacante.
Dezembro, o mês do malware macOS
Este mês tem visto muita atividade na frente do malware macOS, já que duas outras linhagens foram descobertas.
O DarthMiner é um deles, distribuído através do software de pirataria Adobe Zii para piratear vários aplicativos da Adobe.
Nesse caso, o autor cometeu o erro de usar o logotipo da Adobe Creative Cloud em vez do ícone do Adobe Zii, que atraiu suspeitas bem merecidas.
Outra ameaça macOS é o OSX.BadWord, assim chamado pelo Malwarebytes e descoberto por John Lambert, engenheiro do Microsoft Threat Intelligence Center.
This #bitcoin interview lure macro doc does not infect any version of Office for Windows. Why? It is targeting MacOffice.
When you see libc.dylib, system, and plist, you know the macro is up to no good.objective-see.com/blo/blog_0x35.… (
@patrickwardle)
Ele foi entregue por meio de uma macro mal-intencionada em um documento do Microsoft Word que explorou uma vulnerabilidade de escape de sandbox para criar um agente de lançamento para permitir a persistência de um script Python que configura um backdoor Meterpreter para acessar o sistema.
Por mais interessante que pareça, o OSX.BadWord não é uma criação original, mas um trabalho de copiar e colar do código de prova de conceito lançado em fevereiro por Adam Chester da MDSec. A diferença está na escolha do backdoor, já que Chester mencionou o Empire como uma possível ferramenta para manipular os endpoints do macOS.
Fora isso, o trapaceiro fez um esforço mínimo para fazer o malware como eles deixaram no código até mesmo os identificadores referentes ao blog de Chester; ou talvez eles simplesmente se sentissem mal por aceitar crédito imerecido.
Comentários
Postar um comentário