loader
bg-category
Mystery "FruitFly" Malware inficerede Mac'er i årevis har ingen bemærket det indtil 2017

Del Med Dine Venner

Forfatterens Artikler: Kenneth Douglas

Korte byte: To malware, der går under navnet FruitFly og FruitFly 2, er blevet opdaget i løbet af de sidste par måneder, begyndende Janaury i år. Malware, der vides at have inficeret hundredvis af Mac'er, antages som overvågningsværktøjer i stedet for nogle ransomware eller anden form for malware.

En fjern malware, der er designet til at inficere Apples macOS, forlader et forvirret udseende på sikkerhedsforskernes ansigt. Den første variant af malware kaldet FruitFly, også den første Mac malware af 2017, blev opdaget tidligere i år af sikkerhedsfirmaet Malwarebytes og analyseret af Thomas Reed.

Dengang havde en IT-administrator hos firmaet opdaget en usædvanlig udgående trafik fra en bestemt Mac. Den "forenklede" malware bestod af kun to filer, der bærede nogle "gamle" obfuscated Perl. Nogle af koden selv går tilbage til 1998, før eksistensen af ​​macOS. Malware kunne tage skærmbilleder, log tastetryk, spionere gennem webkameraer, og det var kendt at have målrettet nogle biomedicinske forskningscentre så godt. Ifølge Malwarebytes blev en opdatering frigivet af Apple for at tage sig af det samme.

Hurtig fremad et par måneder blev en anden malware med ligheder til FruitFly påvist af ex-NSA hacker Patrick Wardle, som nu er sikkerhedsforsker ved Synack. Kendes som FruitFly 2, antages det, at malware eksisterer i et årti eller deromkring, uopdaget af mange antivirusprogrammer.

Under sammenbruddet fandt Wardle, at FruitFly 2 kunne oprette forbindelse til en C & C-server og sende dataene tilbage til hackerne, moderkortrapporter. Backup-servere var også til stede, hvis der opstod nogle problemer med de primære. Mere end 400 ofre blev opdaget, da Wardle inficerede sin virtuelle maskine efter registrering af et domæne, som hackere planlagde at bruge som backup.

Han kunne se ofrenes IP-adresser og endda navnene på Mac-computere. Dette nummer kan dog stige, da Wardle ikke havde adgang til alle C & C-servere, der bruges til at kontrollere malware. Wardle kontaktede retshåndhævelse og rapporterede sine resultater. Han har også talt om hans resultater ved årets Black Hat-konference.

Både Wardle og Reed er uvidende om malwareens oprindelse, hvem har gjort det, og hvad er dens formål. I tilfælde af Wardle bor omkring 90 procent af FruitFly 2 ofrene i USA eller Canada.

Muligheden for at malware bliver bagt af en føderal krop bliver tyndere, da malware ikke er sofistikeret nok, og det har ikke målrettet nogen højt profilerede personer, skriver bundkort. FruitFly 2 er ikke en ransomware og det logger ikke tastetryk. Men ifølge Wardle kunne begge FruitFly malware være designet til at udføre overvågning.

FruitFly 2 er også skrevet i Perl og giver angriberen mulighed for at styre musen og tastaturet eksternt. Det underretter endda angriberen, når offeret begynder at bruge musen og tastaturet.

Wardle sagde, at malware synes at have været at målrette mod bestemte personer, måske normale Mac-brugere eller familier, men intentionerne er uklare. Han kalder situationen "bekymrende." Han advarer Mac-brugere om at være forsigtige, mens de bruger deres maskiner. "Bare fordi de har en Mac, betyder det ikke, at de er sikre."

Fik noget at tilføje? Drop dine tanker og feedback.

Del Med Dine Venner

Dine Kommentarer