Обнаружен новый бэкдор для Mac с устаревшим кодом

image

Теги: Mac, Apple, Linux, вредоносное ПО

Вредоносное ПО было создано несколько лет назад, однако обнаружили его только сейчас.

Эксперты компании Malwarebytes сообщили о первом обнаруженном в 2017 году вредоносном ПО для Mac. Бэкдор Quimitchin использует устаревший код и атакует медицинские исследовательские лаборатории.

По всей видимости, вредоносное ПО было создано несколько лет назад, однако обнаружили его только сейчас. Это можно объяснить тем, что бэкдор использовался исключительно для целевых атак, а они осуществляются не так часто.

Как отмечают эксперты, за последние несколько лет не раз появлялись сообщения о русских и китайских хакерах, атакующих американские исследовательские институты. Тем не менее, фактов, проливающих свет на создателей или распространителей Quimitchin, экспертам обнаружить не удалось. Поскольку вредонос использовался только в атаках на исследовательские лаборатории, наверняка его главной целью является кибершпионаж.

Бэкдор был обнаружен, когда администратор зафиксировал подозрительный трафик, исходящий от одного из Mac. В Quimitchin реализованы устаревшие системные вызовы, использовавшиеся еще до появления OS X, а также библиотека libjpeg с открытым исходным кодом, в последний раз обновлявшаяся в 1998 году.

Поскольку в оригинальном скрипте исследователи обнаружили команды оболочки Linux, они решили запустить бэкдор на Linux-машине. Как оказалось, практически все, за исключением кода Mach-O (формат исполняемых файлов в ОС от Apple), работало отлично. Эксперты допускают существование вариантов Quimitchin, предназначенных для Linux, где вместо Mach-O используется исполняемый файл Linux.

Основными функциями вредоноса является похищение снимков экрана и доступ к web-камерам на зараженных Mac. Кроме того, бэкдор способен составлять карту локальной сети и предоставляет злоумышленникам возможность удаленно управлять ею.

Apple назвала данное вредоносное ПО Fruitfly и пообещала вскоре выпустить решение безопасности для борьбы с ним.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.