Fruitfly: Otkriven novi backdoor za Mac

Opisi virusa, 20.01.2017, 00:30 AM

Fruitfly: Otkriven novi backdoor za Mac

Istraživači iz kompanije Malwarebytes analizirali su backdoor za Mac koji se detektuje kao OSX.Backdoor.Quimitchin i za koga se veruje da je prisutan godinama, ali da nikada ranije nije označen kao posebna familija malvera.

OSX.Backdoor.Quimitchin koga je Apple nazvao Fruitfly može da pravi snimke ekrana i pristupa web kameri računara. Ako dobije komandu da to uradi, on može da otkrije veličinu ekrana i poziciju kursora miša, da promeni poziciju kursora miša, simulira klikove mišem i kucanje po tasterima. Sve ovo se može iskoristiti za daljinsku kontrolu nad računarom.

Malver može da preuzme i dodatne skripte i fajlove sa C&C servera. Jedna od njih se koristi da se napravi mapa svih uređaja na lokalnoj mreži i dođe do informacija o njima. Druga skripta služi za konekciju na druge uređaje u lokalnoj mreži.

Malver koristi starinske sistemske pozive koji datiraju iz vremena pre OS X. Fruitfly koristi libjpeg biblioteku koja datira iz 1998.

Osim toga, u kodu se nalazi komentar koji ukazuje da je promena napravljena za Yosemite (Mac OS X 10.10), koji je objavljen oktobra 2014. Ovo ukazuje da je malver još iz vremena pre objavljivanja Yosemite.

Ipak, starost koda ne mora da odgovara starosti malvera. Moguće je da hakeri ne poznaju dovoljno Mac i da se oslanjaju na staru dokumentaciju. Isto tako oni mogu koristiti stare sistemske pozive da bi izbegli detekcije ponašanja koja se mogu očekivati od novijeg koda.

Stručnjaci Malwarebytes probali su malver na Linuxu i radio je. Oni smatraju da to ukazuje da možda postoji posebna verzija za Linux, mada je oni nisu pronašli.

Zanimljivo je i da C&C serveri ovog malvera koriste neke Windows izvršne fajlove koji su podneti Virus Totalu još 2013.

Jasno je da se ovaj Mac backdoor retko koristio. Jedno objašnjenje za to je da je malver korišćen za ciljane napade.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Napadači su kreirali lažni Office 365 sajt koji distribuira trojanca TrickBot koji krade lozinke. Trojanac je sakriven u lažnim ažuriranjima za Ch... Dalje

25 miliona Android uređaja zaraženo malverom Agent Smith

25 miliona Android uređaja zaraženo malverom Agent Smith

Istraživači iz firme Check Point otkrili su novi malver za Android uređaje koji je nazvan "Agent Smith". Agent Smith je neprimetno zarazio oko 25 m... Dalje

Novi malver za Mac se širi preko rezultata Google pretrage

Novi malver za Mac se širi preko rezultata Google pretrage

Istraživač Džošua Long iz kompanije Intego otkrio je novi malver koji inficira Mac računare. Malver nazvan OSX/CrescentCore, je trojanac, a prime... Dalje

Žrtve ransomwarea GandCrab koji je inficirao 1,5 miliona računara sada mogu da dešifruju besplatno svoje fajlove

Žrtve ransomwarea GandCrab koji je inficirao 1,5 miliona računara sada mogu da dešifruju besplatno svoje fajlove

Istraživači iz kompanije BitDefender objavili su ažuriranu verziju alata za dešifrovanje fajlova koje je šifrovao ransomware GandCrab, koji bi mo... Dalje

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Novi Dharma ransomware koristi instalaciju programa ESET AV Remover da bi sakrio od žrtava ono što se dešava u pozadini - šifrovanje njihovih fajl... Dalje