Dos de las principales aplicaciones de comunicación para grupos son Slack y Discord. El número de usuarios en Slack es mayor en el entorno empresarial, mientras que Discord es más empleado en el mundo de los juegos y el entretenimiento. En cualquier caso, ambas son empleadas para que personas con intereses afines se pongan en contacto.
Recientemente, en varios canales sobre criptodivisas de Slack, Discord y otras aplicaciones de mensajería social, se han estado difundiendo mensajes maliciosos que animaban a los usuarios a ejecutar un script malicioso en la consola de comandos de macOS. Los responsables del mismo se hacían pasar por administradores de los canales en cuestión.
Este código malicioso procedía a descargar, instalar y ejecutar un archivo de 34 Mb, de servidor remoto alojado en CrownCloud. Este archivo, entre cuyas librerías están las de OpenSSL para cifrar las comunicaciones con el servicdor, deja el equipo vulnerable a los ataques, permitiendo que se ejecuten mandatos en modo superusuario, pidiendo para ello una contraseña que guarda en un archivo llamado dumpdummy. Además, se incorpora a la lista de arranca del Mac, haciéndose persistente.
Este ataque ha sido descubierto por Remco Verhoef, de SANS. Patrick Wardle, un experto en programas maliciosos para Mac, ha llamado a este malware OSX.Dummy (OSX.Estúpido), ya que:
- El método de infección es estúpido.
- El tamaño del archivo malicioso es estúpido.
- El mecanismo de persistencia es cutre (y por ello, estúpido).
- Sus características son limitadas (por lo tanto, estúpidas).
- Se puede detectar fácilmente en cada paso (así de estúpido).
- Guarda la contraseña del usuario en un archivo llamado dumpdummy.
No se sabe quien es el atacante ni sus intenciones, pero está claro de que, por muy estúpido que sea el mismo, más aún lo tiene que ser quien no tenga el sentido común de no instalar nada que venga de una procedencia dudosa.
Vía: Ars Technica.