“Domme” MacOS-malware valt gebruikers Slack en Discord aan

Beveiligingsonderzoekers hebben aanvallen van MacOS-malware ontdekt die zijn gericht op gebruikers van Slack en Discord die over cryptocurrencies discussiëren, meldt SC Media UK op 2 juli.
Remco Verhoef, oprichter van netwerk-beveiligingsbedrijf DutchSec, postte op 30 juni over de malware in een blogpost voor de informatiebeveiligings- en cyber-veiligheidstraining Sans Institute.
Volgens Verhoef imiteren de aanvallen beheerders of “sleutelfiguren” in crypto-gerelateerde chats, en delen vervolgens “kleine fragmenten” die gedownload worden en een kwaadaardig binair bestand uitvoeren. SC Media UK merkt op dat de malware gebruikerswachtwoorden kan stelen en ook op de “local machine” kan opslaan, wat Verhoef identificeert als de schijnbaar Nederlandse server van de Duitse provider CrownCloud.
Patrick Wardle van Digital Security postte 29 juni op Objective-See over de op Mac gerichte malware-aanvallen, waarbij hij zei dat aanvallers “kennelijk gebruikers vragen om zichzelf te infecteren” met een “nogal gigantisch machO binair bestand”.
Wardle noemde de malware “OSX.Dummy” om verschillende redenen die hij als volgende opsomde:
 

• de infectie-methode is dom
• de enorme omvang van het binaire bestand is dom
• het persistentie-mechanisme is zwak (en dus ook dom)
• de mogelijkheden zijn nogal beperkt (en dus nogal dom)
• de trivial ervan is bij elke stap te detecteren (zo dom)
• … en tot slot slaat de malware de wachtwoorden van de gebruikers op als dumpdummy

 
 
Volgens threat intelligence analyst bij Unit 42, Palo Alto Networks, Alex Hinchliffe, zullen aanvallen als deze “in de loop der tijd verbeteren” en er zou multi-factor authentication gebruikt moeten worden om deel te nemen aan de chatroom van een organisatie.