IWorm

Zlonamjerni softver koji cilja Mac računala iz dana u dan postaje sve učestaliji. IWorm se zove jedna od prijetnji koja ciljano koristi strojeve koji pokreću OSX. Istraživači cyber-sigurnosti prvi su put uočili ovu prijetnju u 2014. godini. Izvješteno je da je zlonamjerni softver iWorm uspio kompromitirati oko 18.000 uređaja širom svijeta. Ova prijetnja može preuzeti kontrolu nad zaraženim domaćinom i koristiti ga u razne svrhe. Čini se da ga operatori zlonamjernog softvera iWorm koriste za izgradnju botneta. Stručnjaci nisu u potpunosti sigurni za što će se bonet koristiti, ali vjerovatno je da će on biti upotrijebljen u DDoS napadima (Distributed-Denial-of-Service) napadima, masovnim kampanjama neželjene e-pošte, operacijama vađenja kriptovaluta itd.

sposobnosti

Osim što može steći kontrolu nad kompromitiranim sustavom, iWorm zlonamjerni softver omogućuje svojim operaterima i prikupljanje podataka o svojoj metama. Nadalje, prijetnja iWorm omogućava napadačima izvršavanje udaljenih naredbi i prikupljanje podataka o mrežnom prometu žrtve. U slučaju problema s primarnim C&C (Command & Control) poslužiteljem na koji se povezuje iWorm malware, prijetnja se može prebaciti na alternativni C&C poslužitelj. Za dobivanje upornosti na kompromitiranom hostu, prijetnja iWorm pobrinut će se za pokretanje novog LaunchDaemon koji će pokrenuti izvršenje prijetnje svaki put kada korisnik ponovno pokrene Mac. Natrag iWorm može koristiti naziv datoteke 'application.com.JavaW' koji bi trebao izgledati zakonito korisniku, tako da se ne podižu crvene zastave.

Adresi poslužitelja C&C na Redditu

Zlonamjerni softver iWorm koristi zanimljivu infrastrukturu prilikom dohvaćanja adresa C&C poslužitelja svojih operatera. Većina autora zlonamjernog softvera često koristi web stranice trećih strana poput PasteBin ili jednostavno tvrdo kodiraju adrese u kod prijetnje. Međutim, kreatori iWorm backdoor-a nalaze se adrese poslužitelja C&C na Reddit.com, web mjestu koje se često naziva naslovnicom na Internetu. Dotične adrese kodiraju i objavljuju korisnik s nadimkom "vtnhiaovyd." Autori prijetnje prikrivaju kodirane adrese C&C poslužitelja kao IP adrese Minecraft poslužitelja. Računi koji su povezani sa prijetećom aktivnošću zlonamjernog softvera iWorm zabranjeni su, ali to ne znači da su napadači uhvatili kampanju.

Do sada se čini da se kompromitirani strojevi nisu koristili u operacijama kriptominiranja ili DDoS napadima. Čini se da tvorci botneta još nisu koristili zaražena računala za bilo koju operaciju. Ako želite svoj uređaj zaštititi od prijetnji poput iWorm stražnjeg dijela, obavezno preuzmite i instalirajte pravi alat protiv zlonamjernog softvera i ne zaboravite ga redovito ažurirati.

U trendu

Nagledanije

Učitavam...