IWorm
Το κακόβουλο λογισμικό που απευθύνεται σε υπολογιστές Mac γίνεται όλο και πιο κοινό από την ημέρα. Μία από τις απειλές που στοχεύουν αποκλειστικά τα μηχανήματα OSX ονομάζεται iWorm. Οι ερευνητές στον κυβερνοχώρο έχουν ήδη εντοπίσει αυτή την απειλή από το 2014. Έχει αναφερθεί ότι το κακόβουλο πρόγραμμα iWorm κατάφερε να συμβιβάσει περίπου 18.000 συσκευές παγκοσμίως. Αυτή η απειλή είναι ικανή να πάρει τον έλεγχο του μολυσμένου ξενιστή και να τον χρησιμοποιήσει για διάφορους σκοπούς. Φαίνεται ότι οι χειριστές του κακόβουλου λογισμικού iWorm το χρησιμοποιούν για την κατασκευή ενός botnet. Οι ειδικοί δεν είναι απολύτως βέβαιοι για το τι θα χρησιμοποιηθεί το botnet, αλλά είναι πιθανό να χρησιμοποιηθεί σε επιθέσεις DDoS (Distributed-Denial-of-Service), μαζικές εκστρατείες ηλεκτρονικού ταχυδρομείου ανεπιθύμητης αλληλογραφίας, λειτουργίες εξόρυξης κρυπτοσυχνοτήτων κλπ.
Δυνατότητες
Πέραν του ότι είναι σε θέση να αποκτήσει τον έλεγχο του συμβιβασμού, το κακόβουλο λογισμικό iWorm επιτρέπει επίσης στους χειριστές του να συλλέγουν δεδομένα σχετικά με τον στόχο τους. Επιπλέον, η απειλή iWorm επιτρέπει στους εισβολείς να εκτελούν απομακρυσμένες εντολές και να συλλέγουν δεδομένα σχετικά με την κυκλοφορία του θύματος στο δίκτυο. Σε περίπτωση προβλήματος με τον κύριο διακομιστή C & C (Command & Control) που συνδέεται με το κακόβουλο πρόγραμμα iWorm, η απειλή μπορεί να μεταβεί σε εναλλακτικό διακομιστή C & C. Για να επιτύχουμε την επιμονή στον κατεστραμμένο κεντρικό υπολογιστή, η απειλή iWorm θα διασφαλίσει ότι θα δημιουργήσει ένα νέο LaunchDaemon που θα ενεργοποιήσει την εκτέλεση της απειλής κάθε φορά που ο χρήστης επανεκκινήσει το Mac. Το backdoor του iWorm μπορεί να χρησιμοποιήσει το όνομα του αρχείου 'application.com.JavaW' που προορίζεται να θεωρηθεί νόμιμο για τον χρήστη, ώστε να μην εγείρονται κόκκινες σημαίες.
Υποστηρίζει διακομιστές C & C που απευθύνονται στο Reddit
Το κακόβουλο πρόγραμμα iWorm χρησιμοποιεί μια ενδιαφέρουσα υποδομή όταν αρπάζει τις διευθύνσεις των διακομιστών C & C των φορέων εκμετάλλευσης. Οι περισσότεροι συντάκτες κακόβουλου λογισμικού τείνουν να χρησιμοποιούν ιστοσελίδες τρίτου μέρους όπως το PasteBin ή απλά hardcode τις διευθύνσεις στον κώδικα της απειλής. Ωστόσο, οι δημιουργοί του backdoor iWorm φιλοξενούν τις διευθύνσεις των εξυπηρετητών C & C στο Reddit.com, έναν ιστότοπο που αναφέρεται συχνά ως η πρώτη σελίδα του Internet. Οι εν λόγω διευθύνσεις κωδικοποιούνται και δημοσιεύονται από ένα χρήστη με το ψευδώνυμο 'vtnhiaovyd.' Οι συντάκτες της απειλής συγκαλύπτουν τις κωδικοποιημένες διευθύνσεις διακομιστών C & C ως διακομιστές Minecraft IPs. Λογαριασμοί που έχουν συνδεθεί με την απειλητική δραστηριότητα του κακόβουλου λογισμικού iWorm έχουν απαγορευτεί, αλλά αυτό δεν σημαίνει ότι οι επιτιθέμενοι έχουν κατακτήσει την εκστρατεία.
Μέχρι στιγμής, φαίνεται ότι οι συμβιβασμένες μηχανές δεν έχουν χρησιμοποιηθεί σε λειτουργίες κρυπτοποίησης ή επιθέσεις DDoS. Οι δημιουργοί του botnet δεν φαίνεται να έχουν χρησιμοποιήσει τους μολυσμένους υπολογιστές για οποιεσδήποτε λειτουργίες ακόμα. Εάν θέλετε να διατηρήσετε το μηχάνημα σας ασφαλή από απειλές όπως το backdoor του iWorm, βεβαιωθείτε ότι έχετε κατεβάσει και εγκαταστήσει ένα γνήσιο εργαλείο προστασίας από κακόβουλο λογισμικό και μην ξεχάσετε να το ενημερώνετε τακτικά.
