top of page

Darthminer, o novo malware para Mac

Este novo malware é o resultado de um backdoor em conjunto com um cryptominer. É designado por Darthminer, combinando dois programas open-source.

softopedia

Como se distribui?

Essencialmente a partir do Adobe Zii, uma aplicação que supostamente ajuda na pirataria de vários programas da Adobe, sendo que, neste caso, os atacantes usam um software falso.

Como funciona?

A aplicação foi feita para correr uma shell que faz download de um script em Python e executa-o, e depois faz download de uma app chamada sample.app, correndo-a de seguida, que aparenta ser uma versão do Adobe Zii. O script de python procura pelo Little Snitch, uma firewall para ligações exteriores, depois abre ligação a um endpoint EmPyre para enviar comandos arbitrários a um Mac que esteja comprometido, fazendo a partir daí download dos outros componentes do malware. O malware em si cria um agente de execução chamado com.proxy.initialize.plist, que mantém um backdoor aberto e persistente a correr exatamente o mesmo script de python.

Além disso, o código malicioso instala o cryptominer XMLRig e cria um agente de execução para o mesmo.

Também é interessante verificar que o código é capaz de fazer download e instalar um certificado de root para a ferramenta de mitmproxy (man in the middle proxy).

Mais informações aqui: https://cyware.com/news/osxdarthminer-new-mac-malware-combines-empyre-backdoor-and-monero-mining-a497d078

POSTS RECENTES:
PROCURE POR TAGS:
bottom of page