Fruitfly: Otkriven novi backdoor za Mac

Opisi virusa, 20.01.2017, 00:30 AM

Fruitfly: Otkriven novi backdoor za Mac

Istraživači iz kompanije Malwarebytes analizirali su backdoor za Mac koji se detektuje kao OSX.Backdoor.Quimitchin i za koga se veruje da je prisutan godinama, ali da nikada ranije nije označen kao posebna familija malvera.

OSX.Backdoor.Quimitchin koga je Apple nazvao Fruitfly može da pravi snimke ekrana i pristupa web kameri računara. Ako dobije komandu da to uradi, on može da otkrije veličinu ekrana i poziciju kursora miša, da promeni poziciju kursora miša, simulira klikove mišem i kucanje po tasterima. Sve ovo se može iskoristiti za daljinsku kontrolu nad računarom.

Malver može da preuzme i dodatne skripte i fajlove sa C&C servera. Jedna od njih se koristi da se napravi mapa svih uređaja na lokalnoj mreži i dođe do informacija o njima. Druga skripta služi za konekciju na druge uređaje u lokalnoj mreži.

Malver koristi starinske sistemske pozive koji datiraju iz vremena pre OS X. Fruitfly koristi libjpeg biblioteku koja datira iz 1998.

Osim toga, u kodu se nalazi komentar koji ukazuje da je promena napravljena za Yosemite (Mac OS X 10.10), koji je objavljen oktobra 2014. Ovo ukazuje da je malver još iz vremena pre objavljivanja Yosemite.

Ipak, starost koda ne mora da odgovara starosti malvera. Moguće je da hakeri ne poznaju dovoljno Mac i da se oslanjaju na staru dokumentaciju. Isto tako oni mogu koristiti stare sistemske pozive da bi izbegli detekcije ponašanja koja se mogu očekivati od novijeg koda.

Stručnjaci Malwarebytes probali su malver na Linuxu i radio je. Oni smatraju da to ukazuje da možda postoji posebna verzija za Linux, mada je oni nisu pronašli.

Zanimljivo je i da C&C serveri ovog malvera koriste neke Windows izvršne fajlove koji su podneti Virus Totalu još 2013.

Jasno je da se ovaj Mac backdoor retko koristio. Jedno objašnjenje za to je da je malver korišćen za ciljane napade.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska Nacionalna žandarmerija objavila je juče da je više od 850000 računara širom sveta oslobođeno trenutno jednog od najraširenijeg malve... Dalje

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Prošla nedelja počela je loše za veći broj nemačkih kompanija koje je blokirao malver koji briše podatke i koji je u ime onih koji su ga širili... Dalje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware koji inficira Android uređaje širi se slanjem tekstualnih poruka koje sadrže maliciozne linkove svima sa liste kontakata koja se na... Dalje

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Napadači su kreirali lažni Office 365 sajt koji distribuira trojanca TrickBot koji krade lozinke. Trojanac je sakriven u lažnim ažuriranjima za Ch... Dalje

25 miliona Android uređaja zaraženo malverom Agent Smith

25 miliona Android uređaja zaraženo malverom Agent Smith

Istraživači iz firme Check Point otkrili su novi malver za Android uređaje koji je nazvan "Agent Smith". Agent Smith je neprimetno zarazio oko 25 m... Dalje