IWorm
Malware die zich richt op Mac-computers wordt steeds vaker gebruikt. Een van de bedreigingen die uitsluitend op OSX-machines zijn gericht, wordt iWorm genoemd. Cybersecurity-onderzoekers hebben firs deze dreiging al in 2014 gezien. Er is gemeld dat de iWorm-malware wereldwijd ongeveer 18.000 apparaten heeft weten te compromitteren. Deze dreiging kan de geïnfecteerde host overnemen en voor verschillende doeleinden gebruiken. Het lijkt erop dat de exploitanten van de iWorm-malware het gebruiken om een botnet te bouwen. Experts weten niet helemaal zeker waarvoor het botnet zal worden gebruikt, maar het is waarschijnlijk dat het kan worden gebruikt bij DDoS-aanvallen (Distributed-Denial-of-Service), massale spam-e-mailcampagnes, cryptocurrency-mijnactiviteiten, enz.
mogelijkheden
Afgezien van de mogelijkheid om controle over het gecompromitteerde systeem te krijgen, stelt de iWorm-malware zijn operators ook in staat om gegevens over hun doel te verzamelen. Bovendien stelt de iWorm-bedreiging de aanvallers in staat externe opdrachten uit te voeren en gegevens te verzamelen over het netwerkverkeer van het slachtoffer. In het geval van een probleem met de primaire C&C (Command & Control) -server waarmee de iWorm-malware verbinding maakt, kan de dreiging overschakelen naar een alternatieve C&C-server. Om persistentie op de gecompromitteerde host te verkrijgen, zorgt de iWorm-dreiging ervoor dat een nieuwe LaunchDaemon wordt uitgezet die de uitvoering van de dreiging activeert telkens wanneer de gebruiker de Mac opnieuw opstart. De iWorm-achterdeur kan de bestandsnaam 'application.com.JavaW' gebruiken die bedoeld is als legitiem voor de gebruiker, zodat er geen rode vlaggen worden weergegeven.
Hosts C & C-servers Adressen op Reddit
De iWorm-malware gebruikt een interessante infrastructuur bij het ophalen van de adressen van de C & C-servers van zijn operators. De meeste auteurs van malware hebben de neiging om websites van derden zoals PasteBin te gebruiken of de adressen simpelweg te coderen in de code van de dreiging. De makers van de iWorm-achterdeur hosten de adressen van de C&C servers echter op Reddit.com, een website die vaak de voorpagina van het internet wordt genoemd. De adressen in kwestie zijn gecodeerd en gepost door een gebruiker met de bijnaam 'vtnhiaovyd'. De auteurs van de dreiging vermommen de gecodeerde C & C-serveradressen als IP-adressen van Minecraft-servers. Accounts die zijn gekoppeld aan de bedreigende activiteit van de iWorm-malware zijn verbannen, maar dit betekent niet dat de aanvallers de campagne hebben overgenomen.
Tot nu toe lijkt het erop dat de gecompromitteerde machines niet zijn gebruikt in cryptomining-operaties of DDoS-aanvallen. De makers van het botnet lijken de geïnfecteerde computers nog niet te hebben gebruikt voor bewerkingen. Als u uw machine wilt beschermen tegen bedreigingen zoals de iWorm-achterdeur, zorg er dan voor dat u een echte anti-malwaretool downloadt en installeert en vergeet deze niet regelmatig bij te werken.
