IWorm

Haittaohjelmat, jotka kohdistuvat Mac-tietokoneisiin, ovat yhä yleisempiä päivä päivältä. Yksi uhkista, jotka kohdistuvat yksinomaan OSX: ää käyttäviin koneisiin, on nimeltään iWorm. Kyberturvallisuustutkijat ovat havainneet tämän uhan jo vuonna 2014. On todettu, että iWorm-haittaohjelma on onnistunut vaarantamaan noin 18 000 laitetta maailmanlaajuisesti. Tämä uhka pystyy hallitsemaan tartunnan saaneen isännän ja käyttämään sitä erilaisiin tarkoituksiin. Näyttää siltä, että iWorm-haittaohjelmien operaattorit käyttävät sitä bottiverkon luomiseen. Asiantuntijat eivät ole täysin varmoja mihin bottiverkkoa käytetään, mutta on todennäköistä, että sitä voidaan käyttää DDoS (Distributed-Denial-of-Service) -hyökkäyksissä, massamähköposti-kampanjoissa, kryptovaluutan louhintatoiminnoissa jne.

kyvyt

Sen lisäksi, että iWorm-haittaohjelma pystyy hallitsemaan vaarannettua järjestelmää, se antaa operaattoreille myös mahdollisuuden kerätä tietoja kohteistaan. Lisäksi iWorm-uhka antaa hyökkääjille suorittaa etäkomentoja ja kerätä uhrin verkkoliikennettä koskevia tietoja. Jos ongelma liittyy ensisijaiseen C&C (Command & Control) -palvelimeen, johon iWorm-haittaohjelma muodostaa yhteyden, uhka pystyy vaihtamaan vaihtoehtoiseen C&C-palvelimeen. Saadaksesi pysyvyyden vaarannetussa isäntässä, iWorm-uhka varmistaa, että syntyy uusi LaunchDaemon, joka laukaisee uhan toteuttamisen joka kerta, kun käyttäjä käynnistää Macin. IWorm-takaovi voi käyttää tiedostonimeä 'application.com.JavaW', jonka on tarkoitus näyttää olevan käyttäjän kannalta oikeutettu, jotta punaisia lippuja ei nostettaisi.

Isännöi C&C-palvelinosoitteita Redditissä

IWorm-haittaohjelma hyödyntää mielenkiintoista infrastruktuuria, kun tarttuu operaattorien C&C-palvelimien osoitteisiin. Useimmat haittaohjelmien kirjoittajat yleensä käyttävät kolmansien osapuolien verkkosivustoja, kuten PasteBin, tai yksinkertaisesti koodaavat osoitteet uhan koodiin. IWorm-takaoven luojat kuitenkin isännöivät C&C-palvelimien osoitteita Reddit.com-sivustossa, verkkosivustolla, jota usein kutsutaan Internetin etusivuksi. Kyseiset osoitteet koodataan ja lähetetään käyttäjän nimimerkillä 'vtnhiaovyd'. Uhan tekijät peittävät koodatut C&C-palvelimien osoitteet Minecraft-palvelimen IP-osoitteiksi. Tilit, jotka on liitetty iWorm-haittaohjelmien uhkaavaan toimintaan, on kielletty, mutta tämä ei merkitse sitä, että hyökkääjät ovat tarttuneet kampanjaan.

Toistaiseksi näyttää siltä, että vaarantuneita koneita ei ole käytetty kryptausoperaatioissa tai DDoS-hyökkäyksissä. Bottiverkon luojat eivät näytä vielä hyödyntäneen tartunnan saaneita tietokoneita mihinkään operaatioon. Jos haluat pitää koneesi turvassa uhkilta, kuten iWorm-takaovi, muista ladata ja asentaa aito haittaohjelmien torjuntatyökalu ja unohtaa päivittää sitä säännöllisesti.