Fruitfly: Otkriven novi backdoor za Mac

Opisi virusa, 20.01.2017, 00:30 AM

Fruitfly: Otkriven novi backdoor za Mac

Istraživači iz kompanije Malwarebytes analizirali su backdoor za Mac koji se detektuje kao OSX.Backdoor.Quimitchin i za koga se veruje da je prisutan godinama, ali da nikada ranije nije označen kao posebna familija malvera.

OSX.Backdoor.Quimitchin koga je Apple nazvao Fruitfly može da pravi snimke ekrana i pristupa web kameri računara. Ako dobije komandu da to uradi, on može da otkrije veličinu ekrana i poziciju kursora miša, da promeni poziciju kursora miša, simulira klikove mišem i kucanje po tasterima. Sve ovo se može iskoristiti za daljinsku kontrolu nad računarom.

Malver može da preuzme i dodatne skripte i fajlove sa C&C servera. Jedna od njih se koristi da se napravi mapa svih uređaja na lokalnoj mreži i dođe do informacija o njima. Druga skripta služi za konekciju na druge uređaje u lokalnoj mreži.

Malver koristi starinske sistemske pozive koji datiraju iz vremena pre OS X. Fruitfly koristi libjpeg biblioteku koja datira iz 1998.

Osim toga, u kodu se nalazi komentar koji ukazuje da je promena napravljena za Yosemite (Mac OS X 10.10), koji je objavljen oktobra 2014. Ovo ukazuje da je malver još iz vremena pre objavljivanja Yosemite.

Ipak, starost koda ne mora da odgovara starosti malvera. Moguće je da hakeri ne poznaju dovoljno Mac i da se oslanjaju na staru dokumentaciju. Isto tako oni mogu koristiti stare sistemske pozive da bi izbegli detekcije ponašanja koja se mogu očekivati od novijeg koda.

Stručnjaci Malwarebytes probali su malver na Linuxu i radio je. Oni smatraju da to ukazuje da možda postoji posebna verzija za Linux, mada je oni nisu pronašli.

Zanimljivo je i da C&C serveri ovog malvera koriste neke Windows izvršne fajlove koji su podneti Virus Totalu još 2013.

Jasno je da se ovaj Mac backdoor retko koristio. Jedno objašnjenje za to je da je malver korišćen za ciljane napade.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver Atomic Stealer inficira macOS putem lažnog ažuriranja za pretraživače

Malver Atomic Stealer inficira macOS putem lažnog ažuriranja za pretraživače

Atomic Stealer, takođe poznat i kao AMOS, je malver za Mac OS koji se trenutno širi preko lažnog ažuriranja pretraživača pod nazivom „Clea... Dalje

Kako malver Ducktail krade Facebook naloge

Kako malver Ducktail krade Facebook naloge

Istraživači kompanije Kaspersky otkrili su novu verziju malvera Ducktail koju sajber kriminalci koriste za napade na zaposlene u kompanijama koji su... Dalje

Sajber kriminalci imaju novu taktiku kojom sprečavaju otkrivanje malvera

Sajber kriminalci imaju novu taktiku kojom sprečavaju otkrivanje malvera

Malver LummaC2 v4.0 koji krade podatke, izbegava otkrivanje koristeći trigonometriju da bi razlikovao ljudske korisnike od automatizovanih alata za ... Dalje

Malver StripedFly zarazio više od milion računara

Malver StripedFly zarazio više od milion računara

Punih pet godina jedan malver ostao je neprimećen zarazivši za to vreme više od milion Windows i Linux sistema. Pravu prirodu malvera StripedFly ko... Dalje

Malver DarkGate se širi kao PDF ili ZIP fajl preko Skypea i Microsoft Teamsa

Malver DarkGate se širi kao PDF ili ZIP fajl preko Skypea i Microsoft Teamsa

Malver DarkGate, koji je prvi put primećen krajem 2018. godine, trenutno se širi preko komunukacionih platformi kao što su Skype i Microsoft Teams,... Dalje