IWorm

Malware som är inriktat på Mac-datorer blir allt vanligare med dagen. Ett av hoten som uteslutande riktar sig till maskiner som kör OSX kallas iWorm. Cybersecurity-forskare har granar upptäckt detta hot tillbaka 2014. Det har rapporterats att iWorm skadlig programvara har lyckats kompromissa med cirka 18 000 enheter över hela världen. Detta hot kan ta kontroll över den infekterade värden och använda den för olika ändamål. Det verkar som om operatörerna av iWorm-malware använder den för att bygga ett botnet. Experter är inte helt säkra på vad botnet kommer att användas för, men det är troligt att det kan användas i DDoS-attacker (Distribuerad-Denial-of-Service), massa e-postkampanjer, spam gruvdrift etc.

Förmågor

Bortsett från att kunna få kontroll över det komprometterade systemet, möjliggör iWorm skadlig programvara dess operatörer också att samla in data om sitt mål. IWorm-hotet tillåter dessutom angriparna att utföra fjärrkommandon och samla in data om offerets nätverkstrafik. När det gäller ett problem med den primära C&C (Command & Control) -servern som iWorm skadlig programvara ansluter till, kan hotet byta till en alternativ C & C-server. För att få uthållighet på den komprometterade värden kommer iWorm-hotet att se till att skapa en ny LaunchDaemon som kommer att utlösa genomförandet av hotet varje gång användaren startar om Mac. IWorm-bakdörren kan använda filnamnet 'application.com.JavaW' som är tänkt att se ut som legitimt för användaren så att inga röda flaggor tas upp.

Värdar C & C-servrar adresser på Reddit

IWorm-skadlig programvara använder en intressant infrastruktur när de tar tag i adresserna till C & C-servrarna för dess operatörer. De flesta författare av skadlig programvara brukar använda tredjepartswebbplatser som PasteBin eller helt enkelt koda adresserna till hotkoden. Skaparna av iWorm-bakdörren är emellertid värd för C & C-servrarnas adresser på Reddit.com, en webbplats som ofta kallas Internetets första sida. Adresserna i fråga är kodade och postade av en användare med smeknamnet "vtnhiaovyd." Författarna till hotet döljer de kodade C & C-serveradresserna som Minecraft-server-IP: er. Konton som har kopplats till den hotande aktiviteten för iWorm-skadlig programvara har förbjudits, men detta betyder inte att angriparna har tagit grepp om kampanjen.

Hittills verkar det som om de komprometterade maskinerna inte har använts i kryptomining eller DDoS-attacker. Skaparna av botnet verkar inte ha använt de infekterade datorerna för några operationer ännu. Om du vill hålla din maskin säker mot hot som iWorm bakdörr, se till att du laddar ner och installerar ett äkta anti-malware-verktyg och glöm inte att uppdatera den regelbundet.

Trendigt

Mest sedda

Läser in...