IWorm
Вредоносное ПО, предназначенное для компьютеров Mac, с каждым днем становится все более распространенным. Одна из угроз, нацеленная исключительно на машины с OSX, называется iWorm. Исследователи кибербезопасности впервые обнаружили эту угрозу еще в 2014 году. Сообщалось, что вредоносная программа iWorm смогла скомпрометировать около 18 000 устройств по всему миру. Эта угроза способна захватить зараженный хост и использовать его для различных целей. Похоже, что операторы вредоносного ПО iWorm используют его для создания ботнета. Эксперты не совсем уверены, для чего будет использоваться ботнет, но вполне вероятно, что он может быть использован для атак DDoS (распределенный отказ в обслуживании), массовых рассылок спама, операций по извлечению криптовалюты и т. Д.
возможности
Помимо возможности получить контроль над скомпрометированной системой, вредоносное ПО iWorm также позволяет своим операторам собирать данные о своей цели. Кроме того, угроза iWorm позволяет злоумышленникам выполнять удаленные команды и собирать данные о сетевом трафике жертвы. В случае проблемы с основным сервером C & C (Command & Control), к которому подключается вредоносная программа iWorm, угроза способна переключиться на альтернативный сервер C & C. Чтобы получить постоянство на скомпрометированном хосте, угроза iWorm обязательно создаст новый LaunchDaemon, который будет запускать выполнение угрозы каждый раз, когда пользователь перезагружает Mac. В бэкдоре iWorm может использоваться имя файла «application.com.JavaW», которое должно выглядеть как законный для пользователя, так что красные флаги не поднимаются.
Адреса серверов C & C на Reddit
Вредоносная программа iWorm использует интересную инфраструктуру при захвате адресов серверов C & C своих операторов. Большинство авторов вредоносных программ, как правило, используют сторонние веб-сайты, такие как PasteBin, или просто вводят адреса в код угрозы. Однако создатели бэкдора iWorm размещают адреса серверов C & C на Reddit.com, веб-сайте, который часто называют главной страницей Интернета. Указанные адреса кодируются и публикуются пользователем с псевдонимом vtnhiaovyd. Авторы угрозы маскируют адреса закодированных серверов C & C как IP-адреса серверов Minecraft. Учетные записи, связанные с угрозой активности вредоносного ПО iWorm, были запрещены, но это вовсе не означает, что злоумышленники захватили кампанию.
Пока что создается впечатление, что скомпрометированные машины не использовались в операциях криптомайнинга или DDoS-атаках. Создатели ботнета, похоже, еще не использовали зараженные компьютеры для каких-либо операций. Если вы хотите защитить свой компьютер от таких угроз, как бэкдор iWorm, убедитесь, что вы загружаете и устанавливаете подлинное средство защиты от вредоносных программ и не забывайте регулярно обновлять его.
