„iWorm“

Kenkėjiškos programos, nukreiptos į „Mac“ kompiuterius, kasdien tampa vis dažnesnės. Viena iš grėsmių, skirtų tik kompiuteriams, kuriuose veikia OSX, yra vadinama „iWorm“. Kibernetinio saugumo tyrinėtojai pirmą kartą pastebėjo šią grėsmę 2014 m. Buvo pranešta, kad „iWorm“ kenkėjiška programa sugebėjo sukompromituoti apie 18 000 įrenginių visame pasaulyje. Ši grėsmė gali valdyti užkrėstą šeimininką ir naudoti jį įvairiems tikslams. Panašu, kad „iWorm“ kenkėjiškos programos operatoriai naudoja ją kurdami roboto tinklą. Ekspertai nėra visiškai tikri, kam bus naudojamas botnetas, tačiau tikėtina, kad jis gali būti naudojamas DDoS (paskirstyto paslaugų teikimo neigimo) išpuoliuose, masinio šlamšto el. Pašto kampanijose, kriptovaliutų gavybos operacijose ir kt.

Pajėgumai

„IWorm“ kenkėjiška programinė įranga leidžia ne tik kontroliuoti pažeistą sistemą, bet ir leidžia jos operatoriams rinkti duomenis apie savo taikinį. Be to, „iWorm“ grėsmė leidžia užpuolikams vykdyti nuotolines komandas ir rinkti duomenis apie aukos tinklo srautą. Iškilus problemų su pirminiu C&C („Command & Control“) serveriu, prie kurio „iWorm“ kenkėjiška programa yra prijungta, grėsmė gali perjungti į alternatyvų C&C serverį. „IWorm“ grėsmė, norint išlaikyti atkaklumą pakenktame kompiuteryje, būtinai sukuria naują „LaunchDaemon“, kuris suaktyvins grėsmės vykdymą kiekvieną kartą, kai vartotojas perkrauna „Mac“. „IWorm“ durys gali naudoti failo vardą „application.com.JavaW“, kuris vartotojui atrodo teisėtas, kad nebūtų keliamos raudonos vėliavos.

Patalpinta „CdC“ serverių adresai „Reddit“

„IWorm“ kenkėjiška programa naudoja įdomią infrastruktūrą, kai sugriebia savo operatorių C&C serverių adresus. Daugelis kenkėjiškų programų autorių dažniausiai naudojasi trečiųjų šalių svetainėmis, tokiomis kaip „PasteBin“, arba tiesiog kietai užkoduoja adresus grėsmės kode. Tačiau „iWorm“ durų kūrėjai priglobia C&C serverių adresus „Reddit.com“ - svetainėje, kuri dažnai vadinama pagrindiniu interneto puslapiu. Aptariami adresai yra užkoduoti ir paskelbti vartotojo slapyvardžiu „vtnhiaovyd“. Grėsmės autoriai užmaskuoja užšifruotus C&C serverių adresus kaip „Minecraft“ serverių IP. Paskyros, susietos su grėsminga „iWorm“ kenkėjiška programine veikla, buvo uždraustos, tačiau tai nereiškia, kad užpuolikai pasinaudojo kampanija.

Kol kas atrodo, kad pažeistos mašinos nebuvo naudojamos kriptovaliutų operacijose ar DDoS išpuoliuose. Panašu, kad robotinio tinklo kūrėjai dar nenaudojo užkrėstų kompiuterių jokioms operacijoms. Jei norite apsaugoti savo mašiną nuo tokių grėsmių kaip „iWorm“ durys, būtinai atsisiųskite ir įdiekite tikrą kovos su kenkėjiška programa įrankį ir nepamirškite reguliariai atnaujinti.