IWorm

Malware som er målrettet mot Mac-datamaskiner blir mer og mer vanlig om dagen. En av truslene som utelukkende retter seg mot maskiner som kjører OSX, kalles iWorm. Cybersecurity-forskere har graner funnet denne trusselen tilbake i 2014. Det har blitt rapportert at iWorm-skadelig programvare har klart å kompromittere rundt 18 000 enheter over hele verden. Denne trusselen er i stand til å ta kontroll over den infiserte verten og bruke den til forskjellige formål. Det ser ut til at operatørene av iWorm-malware bruker den for å bygge et botnet. Eksperter er ikke helt sikre på hva botnet vil bli brukt til, men det er sannsynlig at det kan brukes i DDoS-angrep (Distribuert-Denial-of-Service), massesøppel-e-postkampanjer, cryptocurrency gruvedrift, etc.

Capabilities

Bortsett fra å kunne få kontroll over det kompromitterte systemet, gjør iWorm-malware også mulig for operatørene å samle inn data om deres mål. Videre tillater iWorm-trusselen angriperne å utføre eksterne kommandoer og samle inn data angående nettverkstrafikken til offeret. I tilfelle et problem med den primære C & C (Command & Control) serveren som iWorm skadelig programvare kobles til, er trusselen i stand til å bytte til en alternativ C & C-server. For å få utholdenhet på den kompromitterte verten, sørger iWorm-trusselen for å gyte en ny LaunchDaemon som vil utløse utførelsen av trusselen hver gang brukeren starter på Mac-maskinen igjen. IWorm-bakdøren kan bruke filnavnet 'application.com.JavaW' som er ment å se like legitim ut for brukeren, slik at ingen røde flagg heves.

Verter C & C-servere adresser på Reddit

IWorm-malware bruker en interessant infrastruktur når de tar tak i adressene til C & C-serverne til operatørene. De fleste forfattere av skadelig programvare har en tendens til å bruke tredjeparts nettsteder som PasteBin, eller bare kode kodene i trusselkoden. Skaperne av iWorm-bakdøren er imidlertid vertskap for C & C-serverenes adresser på Reddit.com, et nettsted som ofte blir referert til som forsiden til Internett. Adressene det gjelder er kodet og lagt ut av en bruker med kallenavnet 'vtnhiaovyd.' Forfatterne av trusselen er forkledd de kodede C & C-serveradressene som Minecraft-server-IP-er. Kontoer som er knyttet til den truende aktiviteten til iWorm-malware er forbudt, men dette betyr ikke at angriperne har grepet kampanjen.

Så langt ser det ut til at de kompromitterte maskinene ikke har blitt brukt i kryptomineringsoperasjoner eller DDoS-angrep. Det ser ikke ut til at skaperne av botnet har brukt de infiserte datamaskinene til noen operasjoner ennå. Hvis du vil opprettholde maskinen din mot trusler som iWorm-bakdøren, må du laste ned og installere et ekte anti-malware-verktøy, og ikke glem å oppdatere den regelmessig.

Trender

Mest sett

Laster inn...