セキュリティー研究家たちが、スラック(Slack)やディスコード(Discord)で仮想通貨について議論しているユーザーを狙った、MacOSマルウエア攻撃を発見した。SCメディアUKが7月2日に伝えた
ネットワークセキュリティー企業ダッチセック社の創業者、レムコ・フェルーエフ氏が、情報セキュリティー及びサイバーセキュリティー訓練機関のサンズ・インスティチュート向けに書いた6月30日付けのブログ記事で、このマルウエアについて投稿した。
フェルーエフ氏によれば、この攻撃は仮想通貨関連のチャットで管理者や「重要人物」になりすまし、悪意のあるバイナリーデータをダウンロードして実行する「短いコード」を共有するという。SCメディアUKは、このマルウエアはユーザーのパスワードを盗み、それをローカルマシンに保存することもできると指摘する。フェルーエフ氏はそのローカルマシンが、ドイツのプロバイダー「クラウンクラウド」の所有するサーバーであり、どうやらオランダに置かれているらしいことを突き止めている。
デジタルセキュリティー社のパトリック・ウォードル氏は6月29日、マックを狙ったこのマルウエア攻撃に関する記事を、オブジェクティブ・シーに投稿した。記事には、「どうやら攻撃者は、ユーザー自身にかなり巨大なmach-Oバイナリーに感染するよう、求めているようだ」と書かれている。
ウォードル氏はこのマルウエアを「OSX.Dummy(間抜け)」と名付け、自身のブログ記事を締めくくっている。その名前の由来となったさまざまな理由を、同氏は次のような箇条書きで紹介している。
- 感染手法が間抜け
- バイナリのサイズが巨大で間抜け
- 永続性の仕組みが時代遅れ(だから間抜けでもある)
- 能力がかなり限定的(だからかなり間抜け)
- 各ステップにみつかる平凡さ(間抜けさ)
- ...最後に、このマルウエアはユーザーのパスワードをdumpdummyと保存する
パロアルトネットワークスのユニット42で脅威インテリジェンスアナリストを務めるアレックス・ヒンチリッフェ氏によれば、このような攻撃は「時と共に改善され」、他要素認証を使って組織のチャットルームに参加するようになるだろうという。