IWorm

Malware, der er målrettet mod Mac-computere, bliver mere og mere almindeligt i dag. En af de trusler, der udelukkende retter sig mod maskiner, der kører OSX, kaldes iWorm. Cybersecurity-forskere har graner fundet denne trussel tilbage i 2014. Det er rapporteret, at iWorm-malware har formået at kompromittere omkring 18.000 enheder over hele verden. Denne trussel er i stand til at tage kontrol over den inficerede vært og bruge den til forskellige formål. Det ser ud til, at operatørerne af iWorm-malware bruger det til at oprette et botnet. Eksperter er ikke helt sikre på, hvad botnet vil blive brugt til, men det er sandsynligt, at det kan bruges i DDoS (Distribueret-Denial-of-Service) angreb, massespam-e-mail-kampagner, cryptocurrency-minedrift osv.

Capabilities

Bortset fra at være i stand til at få kontrol over det kompromitterede system, giver iWorm malware også sine operatører mulighed for at indsamle data om deres mål. Endvidere tillader iWorm-truslen angribere at udføre fjernkommandoer og indsamle data vedrørende offerets netværkstrafik. I tilfælde af et problem med den primære C&C (Command & Control) server, som iWorm malware opretter forbindelse til, er truslen i stand til at skifte til en alternativ C & C server. For at opnå vedholdenhed på den kompromitterede vært sørger iWorm-truslen for at spawn en ny LaunchDaemon, der vil udløse udførelsen af truslen, hver gang brugeren genstarter Mac'en. IWorm-bagdøren kan bruge filnavnet 'application.com.JavaW', der er beregnet til at se ud som legitimt for brugeren, så der ikke rejses røde flag.

Værter C & C-serveradresser på Reddit

IWorm-malware bruger en interessant infrastruktur, når de griber adresserne på C & C-serverne til dets operatører. De fleste forfattere af malware har tendens til at bruge tredjepartswebsteder som PasteBin eller simpelthen hardkode adresserne i trusselkoden. Imidlertid er skaberne af iWorm-bagdøren vært for C&C-serverne 'adresser på Reddit.com, et websted, der ofte benævnes internetets forside. Adresserne er kodet og postet af en bruger med kaldenavnet 'vtnhiaovyd.' Forfatterne af truslen forklarer de kodede C & C-serveradresser som Minecraft-server-IP'er. Konti, der er knyttet til den truende aktivitet i iWorm malware er blevet forbudt, men det betyder ikke, at angriberen har beslaglagt kampagnen.

Indtil videre ser det ud til, at de kompromitterede maskiner ikke er blevet brugt i kryptomineringsoperationer eller DDoS-angreb. Oprettelsen af botnet ser ud til ikke at have brugt de inficerede computere til nogen operationer endnu. Hvis du vil opretholde din maskine beskyttet mod trusler som iWorm bagdør, skal du sørge for at downloade og installere et ægte anti-malware værktøj og glem ikke at opdatere det regelmæssigt.