IWorm
O malware direcionado aos computadores Mac está se tornando cada vez mais comum a cada dia. Uma das ameaças direcionadas exclusivamente às máquinas que executam o OSX é chamada iWorm. Pesquisadores de segurança cibernética descobriram essa ameaça em 2014. Foi relatado que o malware iWorm conseguiu comprometer cerca de 18.000 dispositivos em todo o mundo. Essa ameaça é capaz de assumir o controle do host infectado e usá-lo para vários propósitos. Parece que os operadores do malware iWorm o estão usando para criar uma botnet. Os especialistas não sabem ao certo o motivo pelo qual a botnet será usada, mas é provável que ela possa ser empregada em ataques DDoS (negação de serviço distribuída), campanhas de spam em massa por email, operações de mineração de criptomoeda etc.
Recursos
Além de poder obter controle sobre o sistema comprometido, o malware iWorm também permite que suas operadoras coletem dados sobre seus alvos. Além disso, a ameaça iWorm permite que os atacantes executem comandos remotos e coletem dados sobre o tráfego de rede da vítima. No caso de um problema no servidor C&C (Command & Control) primário ao qual o malware iWorm se conecta, a ameaça é capaz de mudar para um servidor C&C alternativo. Para obter persistência no host comprometido, a ameaça iWorm garantirá um novo LaunchDaemon que acionará a execução da ameaça toda vez que o usuário reiniciar o Mac. O backdoor do iWorm pode usar o nome do arquivo 'application.com.JavaW', que deve parecer tão legítimo para o usuário, para que nenhuma sinalização vermelha seja levantada.
Hospeda Endereços de Servidores de C&C no Reddit
O malware iWorm utiliza uma infraestrutura interessante ao obter os endereços dos servidores de C&C de suas operadoras. A maioria dos autores de malware costuma usar sites de terceiros como o PasteBin ou simplesmente codificar os endereços no código da ameaça. No entanto, os criadores do backdoor iWorm estão hospedando os endereços dos servidores C&C no Reddit.com, um site que é frequentemente referido como a primeira página da Internet. Os endereços em questão são codificados e postados por um usuário com o apelido 'vtnhiaovyd'. Os autores da ameaça estão disfarçando os endereços dos servidores C&C codificados como IPs do servidor Minecraft. As contas que foram vinculadas à atividade ameaçadora do malware iWorm foram banidas, mas isso não significa que os invasores apreenderam a campanha.
Até agora, parece que as máquinas comprometidas não foram usadas em operações de criptografia ou ataques DDoS. Os criadores da botnet não parecem ter utilizado os computadores infectados para nenhuma operação ainda. Se você deseja manter sua máquina protegida contra ameaças como o backdoor do iWorm, baixe e instale uma ferramenta anti-malware genuína e não se esqueça de atualizá-la regularmente.
