IWorm

A Mac számítógépeket célzó rosszindulatú programok nap mint nap egyre gyakoribbak. Az iWorm az egyik olyan veszély, amely a kizárólag az OSX-t futtató gépeket célozza meg. A kiberbiztonsági kutatók 2014-ben fedezték fel ezt a veszélyt. Úgy tűnik, hogy az iWorm malware világszerte mintegy 18 000 eszközt veszélyeztet. Ez a fenyegetés képes a fertőzött gazdaszervezet irányítását átvenni, és különféle célokra felhasználni. Úgy tűnik, hogy az iWorm rosszindulatú programok operátorai használják azt egy botnet létrehozására. A szakértők nem egészen biztosak abban, hogy a botnetet használni fogják, de valószínű, hogy felhasználható DDoS (Distributed-Denial-of-Service) támadásokban, tömeges spam e-mail kampányokban, kriptovaluta bányász műveletekben stb.

képességek

Amellett, hogy az iWorm rosszindulatú program ellenőrzést szerezhet a veszélyeztetett rendszer felett, lehetővé teszi az operátorok számára, hogy adatokat gyűjtsenek a célokról. Ezenkívül az iWorm fenyegetés lehetővé teszi a támadók számára, hogy távoli parancsokat hajtsanak végre és adatokat gyűjtsenek az áldozat hálózati forgalmáról. Az elsődleges C&C (Command & Control) szerverrel kapcsolatos probléma esetén, amelyhez az iWorm rosszindulatú program csatlakozik, a fenyegetés válthat egy másik C&C szerverre. Annak érdekében, hogy kitartást érjen el a veszélyeztetett gazdagépen, az iWorm fenyegetés egy új LaunchDaemon szponzort hoz létre, amely minden alkalommal elindítja a fenyegetés végrehajtását, amikor a felhasználó újraindítja a Mac-ot. Az iWorm hátsóajtó használhatja az 'application.com.JavaW' fájlnevet, amelynek célja, hogy a felhasználó számára legitimnek tűnjön, és így ne emelkedjen vörös zászló.

C&C szerverek címeit tárolja a Reddit-en

Az iWorm malware érdekes infrastruktúrát használ, amikor megragadja operátorának C&C szervereinek címeit. A legtöbb rosszindulatú program szerzője általában harmadik fél webhelyeit használja, például a PasteBin szoftvert, vagy egyszerűen a címeket kódolja a fenyegetés kódjába. Az iWorm hátsóajtó alkotói azonban a C&C szerverek címeit tárolják a Reddit.com webhelyen, amelyet gyakran az internetes első oldalnak is neveznek. A kérdéses címeket egy felhasználó kódolja és feladja „vtnhiaovyd” becenévvel. A fenyegetés szerzői a kódolt C&C szerver címeket Minecraft szerver IP-kének álcázják. Az iWorm malware veszélyes tevékenységéhez kapcsolt számlákat betiltották, de ez nem jelenti azt, hogy a támadók megragadták a kampányt.

Eddig úgy tűnt, hogy a veszélyeztetett gépeket nem használták titkosítási műveletekben vagy DDoS támadásokban. A botnet készítői úgy tűnik, hogy még nem használták fel a fertőzött számítógépeket semmilyen művelethez. Ha azt akarja, hogy a gépe biztonságban legyen az olyan veszélyekkel szemben, mint például az iWorm hátsóajtó, akkor töltsön le és telepítsen egy valódi rosszindulatú programot, és ne felejtse el rendszeresen frissíteni.

Felkapott

Legnézettebb

Betöltés...