IWorm

Malware që synon kompjuterët Mac është duke u bërë gjithnjë e më i zakonshëm ditën. Një nga kërcënimet që makineritë e synuara drejtojnë ekskluzivisht OSX quhet iWorm. Studiuesit e sigurisë në internet kanë parë këtë kërcënim në vitin 2014. hasshtë raportuar se malware iWorm ka arritur të kompromentojë rreth 18,000 pajisje në të gjithë botën. Ky kërcënim është i aftë të marrë kontrollin e ushtrisë së infektuar dhe ta përdorë atë për qëllime të ndryshme. Duket se operatorët e malware iWorm po e përdorin atë për të ndërtuar një botnet. Ekspertët nuk janë plotësisht të sigurt se për çfarë do të përdoret botnet, por ka të ngjarë që ai mund të punësohet në sulmet DDoS (Shpërndarë-Refuzim të Shërbimit), fushata masive të postave elektronike të spamit, operacionet e minierave cryptocurrency, etj.

aftësitë

Përveç që është në gjendje të fitojë kontrollin mbi sistemin e komprometuar, malware iWorm gjithashtu u mundëson operatorëve të tij të mbledhin të dhëna në lidhje me objektivin e tyre. Për më tepër, kërcënimi iWorm i lejon sulmuesit të ekzekutojnë komanda në distancë dhe të mbledhin të dhëna në lidhje me trafikun e rrjetit të viktimës. Në rastin e një problemi me serverin kryesor C&C (Command & Control) me të cilin lidhet malware iWorm, kërcënimi është i aftë të kalojë në një server alternative C&C. Për të marrë këmbëngulje mbi hostin e komprometuar, kërcënimi iWorm do të sigurohet që të pjell një LaunchDaemon të ri që do të shkaktojë ekzekutimin e kërcënimit çdo herë që përdoruesi rindizet Mac-un. Backdoor iWorm mund të përdorë emrin e skedarit 'Application.com.JavaW' që ka për qëllim të duket sa më legjitime për përdoruesit, në mënyrë që të mos ngrihen flamuj të kuq.

Prit adresat e serverëve C&C në Reddit

Malware iWorm përdor një infrastrukturë interesante kur rrëmben adresat e serverëve C&C të operatorëve të saj. Shumica e autorëve të malware kanë tendencë të përdorin uebfaqe të palëve të treta si PasteBin ose thjesht të kodojnë adresat në kodin e kërcënimit. Sidoqoftë, krijuesit e prapavijëve të iWorm po presin adresat e serverëve C&C në Reddit.com, një faqe në internet që shpesh përmendet si faqja e parë e Internetit. Adresat në fjalë kodohen dhe postohen nga një përdorues me pseudonimin 'vtnhiaovyd'. Autorët e kërcënimit po maskojnë adresat e serverëve të koduar C & C si IP të serverit Minecraft. Llogaritë që kanë qenë të lidhura me aktivitetin kërcënues të malware të iWorm janë ndaluar, por kjo nuk përcakton se sulmuesit kanë kapur fushatën.

Deri më tani, do të duket se makinat e komprometuara nuk janë përdorur në operacionet e kriptominifikimit ose sulmeve DDoS. Krijuesit e botnet nuk duket se kanë shfrytëzuar kompjuterët e infektuar për ndonjë operacion akoma. Nëse dëshironi të mirëmbani makinën tuaj nga kërcënimet si prapavija e iWorm, sigurohuni që të shkarkoni dhe instaloni një mjet të mirëfilltë anti-malware dhe mos harroni ta azhurnoni rregullisht.