IWorm

Złośliwe oprogramowanie atakujące komputery Mac staje się coraz bardziej popularne z dnia na dzień. Jednym z zagrożeń atakujących wyłącznie komputery z systemem OSX jest iWorm. Badacze cyberbezpieczeństwa zauważyli to zagrożenie już w 2014 roku. Doniesiono, że złośliwe oprogramowanie iWorm udało się zaatakować około 18 000 urządzeń na całym świecie. Zagrożenie to może przejąć kontrolę nad zainfekowanym hostem i wykorzystywać go do różnych celów. Wygląda na to, że operatorzy złośliwego oprogramowania iWorm wykorzystują go do budowy botnetu. Eksperci nie są w pełni pewni, do czego botnet będzie wykorzystywany, ale jest prawdopodobne, że może on zostać wykorzystany w atakach DDoS (Distributed-Denial-of-Service), kampaniach masowego spamu, operacjach wydobywania kryptowalut itp.

Możliwości

Oprócz możliwości przejęcia kontroli nad zaatakowanym systemem złośliwe oprogramowanie iWorm umożliwia również jego operatorom zbieranie danych o ich celu. Ponadto zagrożenie iWorm umożliwia atakującym wykonywanie zdalnych poleceń i zbieranie danych dotyczących ruchu sieciowego ofiary. W przypadku problemu z podstawowym serwerem C&C (Command & Control), z którym łączy się złośliwe oprogramowanie iWorm, zagrożenie może zostać przełączone na alternatywny serwer C&C. Aby uzyskać wytrwałość na zaatakowanym hoście, zagrożenie iWorm spowoduje pojawienie się nowego LaunchDaemon, który wyzwoli wykonanie zagrożenia za każdym razem, gdy użytkownik uruchomi ponownie komputer Mac. Backdoor iWorm może używać nazwy pliku „application.com.JavaW”, która ma wyglądać na uzasadnioną dla użytkownika i nie wywoływać żadnych czerwonych flag.

Hostuje adresy serwerów C&C na Reddit

Złośliwe oprogramowanie iWorm wykorzystuje ciekawą infrastrukturę podczas pobierania adresów serwerów kontroli i kontroli swoich operatorów. Większość autorów złośliwego oprogramowania korzysta z witryn stron trzecich, takich jak PasteBin lub po prostu zakoduje adresy w kodzie zagrożenia. Jednak twórcy backdoora iWorm przechowują adresy serwerów C&C na stronie Reddit.com, która jest często nazywana stroną główną Internetu. Wspomniane adresy są kodowane i publikowane przez użytkownika o pseudonimie „vtnhiaovyd”. Autorzy zagrożenia ukrywają zakodowane adresy serwerów C&C jako adresy IP serwerów Minecraft. Konta powiązane z groźną działalnością złośliwego oprogramowania iWorm zostały zablokowane, ale nie oznacza to, że atakujący przejęli kampanię.

Do tej pory wydawało się, że zaatakowane maszyny nie były wykorzystywane w operacjach szyfrowania ani atakach DDoS. Wygląda na to, że twórcy botnetu nie wykorzystali zainfekowanych komputerów do żadnych operacji. Jeśli chcesz zabezpieczyć swój komputer przed zagrożeniami, takimi jak backdoor iWorm, upewnij się, że pobierasz i instalujesz oryginalne narzędzie anty-malware i nie zapomnij regularnie go aktualizować.