IWorm

I malware che colpiscono i computer Mac stanno diventando sempre più comuni di giorno in giorno. Una delle minacce che colpiscono esclusivamente i computer che eseguono OSX si chiama iWorm. I ricercatori di cybersecurity hanno individuato questa minaccia nel 2014. È stato riferito che il malware iWorm è riuscito a compromettere circa 18.000 dispositivi in tutto il mondo. Questa minaccia è in grado di assumere il controllo dell'host infetto e utilizzarlo per vari scopi. Sembra che gli operatori del malware iWorm lo stiano usando per creare una botnet. Gli esperti non sono completamente sicuri per quale verrà utilizzata la botnet, ma è probabile che possa essere utilizzata in attacchi DDoS (Distributed-Denial-of-Service), campagne di posta elettronica di spamming di massa, operazioni di mining di criptovaluta, ecc.

funzionalità

Oltre ad essere in grado di ottenere il controllo del sistema compromesso, il malware iWorm consente anche ai suoi operatori di raccogliere dati sul loro obiettivo. Inoltre, la minaccia iWorm consente agli aggressori di eseguire comandi remoti e raccogliere dati relativi al traffico di rete della vittima. Nel caso di un problema con il server C&C primario (Command & Control) a cui si connette il malware iWorm, la minaccia è in grado di passare a un server C&C alternativo. Per ottenere persistenza sull'host compromesso, la minaccia iWorm farà in modo di generare un nuovo LaunchDaemon che attiverà l'esecuzione della minaccia ogni volta che l'utente riavvia il Mac. La backdoor di iWorm può utilizzare il nome file "application.com.JavaW" che deve apparire come legittimo per l'utente in modo che non vengano generati flag rossi.

Ospita gli indirizzi dei server C&C su Reddit

Il malware iWorm utilizza un'infrastruttura interessante quando afferra gli indirizzi dei server C&C dei suoi operatori. La maggior parte degli autori di malware tende a utilizzare siti Web di terze parti come PasteBin o semplicemente codificare gli indirizzi nel codice della minaccia. Tuttavia, i creatori della backdoor iWorm ospitano gli indirizzi dei server C&C su Reddit.com, un sito Web che viene spesso definito come la prima pagina di Internet. Gli indirizzi in questione sono codificati e pubblicati da un utente con il soprannome "vtnhiaovyd". Gli autori della minaccia nascondono gli indirizzi dei server C&C codificati come IP dei server Minecraft. Gli account che sono stati collegati all'attività minacciosa del malware iWorm sono stati vietati, ma ciò non significa che gli aggressori abbiano sequestrato la campagna.

Finora, sembrerebbe che le macchine compromesse non siano state utilizzate nelle operazioni di crittografia o negli attacchi DDoS. I creatori della botnet non sembrano aver ancora utilizzato i computer infetti per nessuna operazione. Se vuoi mantenere la tua macchina al sicuro da minacce come la backdoor di iWorm, assicurati di scaricare e installare uno strumento antimalware originale e non dimenticare di aggiornarlo regolarmente.