IWorm

Malware, který se zaměřuje na počítače Mac, se každým dnem stává stále běžnějším. Jedna z hrozeb, na které jsou zaměřeny výhradně počítače se systémem OSX, se nazývá iWorm. Výzkumníci v oblasti kybernetické bezpečnosti objevili tuto hrozbu již v roce 2014. Bylo zaznamenáno, že malwaru iWorm se podařilo ohrozit kolem 18 000 zařízení po celém světě. Tato hrozba je schopna převzít kontrolu nad infikovaným hostitelem a používat jej pro různé účely. Zdá se, že operátoři malwaru iWorm jej používají k vytvoření botnetu. Odborníci si nejsou zcela jisti, k čemu bude botnet použit, ale je pravděpodobné, že může být použit při útokech DDoS (Distributed-Denial-of-Service), hromadných spamových e-mailových kampaní, operacích těžby kryptoměn atd.

Schopnosti

Kromě možnosti získat kontrolu nad ohroženým systémem, malware iWorm také umožňuje svým operátorům shromažďovat data o jejich cíli. Hrozba iWorm navíc umožňuje útočníkům provádět vzdálené příkazy a shromažďovat data týkající se síťového provozu oběti. V případě problému s primárním serverem C&C (Command & Control), ke kterému se malware malware iWorm připojuje, je hrozba schopna přejít na alternativní server C&C. Pro získání vytrvalosti u ohroženého hostitele hrozba iWorm zajistí vytvoření nového LaunchDaemon, který spustí spuštění hrozby pokaždé, když uživatel restartuje počítač Mac. Backdoor iWorm může používat název souboru 'application.com.JavaW', který má vypadat jako legitimní pro uživatele, takže se nezvýší žádné červené vlajky.

Hostuje adresy serverů C&C na Reddit

Malwar iWorm využívá zajímavou infrastrukturu při získávání adres serverů C&C svých operátorů. Většina autorů malwaru má tendenci používat webové stránky třetích stran, jako je PasteBin, nebo jednoduše kódovat adresy do kódu hrozby. Tvůrci backdoorů iWorm však pořádají adresy serverů C&C na webu Reddit.com, což je často označováno jako přední strana internetu. Dotčené adresy jsou zakódovány a zaúčtovány uživatelem s přezdívkou 'vtnhiaovyd.' Autoři této hrozby maskují zakódované adresy C&C serverů jako IP adresy serveru Minecraft. Účty, které byly spojeny s ohrožující činností malwaru iWorm, byly zakázány, ale to znamená, že útočníci kampaň zabavili.

Zatím by se zdálo, že kompromitované počítače nebyly použity při kryptominačních operacích nebo DDoS útokech. Zdá se, že tvůrci botnetu dosud nevyužili napadené počítače pro žádné operace. Pokud chcete svůj počítač udržovat v bezpečí před hrozbami, jako je backdoor iWorm, nezapomeňte si stáhnout a nainstalovat originální nástroj proti malwaru a nezapomeňte jej pravidelně aktualizovat.