Впервые вредоносное ПО было зарегистрировано Remco Verhoef SANS. Там объяснялось, что атаки будут выдавать себя за «ключевых людей» в чатах, связанных с криптовалютами, а затем совместно использовать вредоносные скрипты.

Противники попытаются побудить пользователей вставить скрипт в окно «Терминал» своих компьютеров Mac, которое отправит команду на загрузку 34 МБ-файла и его выполнение. В свою очередь, это установит удалённое соединение, которое будет действовать как бэкдор для хакеров. Очевидные недостатки в плане нападавших привлекли внимание Патрика Уордла, эксперта по вредоносным программам для Mac. В более подробном сообщении в блоге он отметил, что:

• метод заражения глупый;
• массивный размер двоичного файла — это глупо;
• механизм персистенции хромает (и, следовательно, также глуп);
• возможности довольно ограничены (и, следовательно, довольно глупы);
• тривиальность — на каждом шагу (что глупо)

Единственная защита — здравый смысл

Бинарный файл выполняет набор библиотек, в том числе Open SSL, которые шифруют свои сообщения обратно на сервер. Remco Verhoef удалось установить, что скрипт bash пытается подключиться к системе, принадлежащей CrownCloud — немецкому хостинг-провайдеру.

Как только двоичный файл будет выполнен, он предоставит злоумышленнику возможность успешно выполнять коды командной строки, как если бы он был пользователем root-заражённого MacOS.

Однако для того, чтобы это произошло, владелец Mac должен ввести пароль, позволяя сценарию продолжать работу. По иронии судьбы, скрипт сохранил бы указанный пароль во временном файле, который называется «dumpdummy». Другими словами, все, что нужно сделать, чтобы предотвратить повреждение этого вредоносного ПО, не вставлять скрипт, предоставленный вам кем-то из Slack или Discord в окне терминала.

Несколько дней назад Мы писали о похожей проблеме в ОС Windows, где был обнаружен неудаляемый вирус.