В коде новой малвари для macOS найдены куски, датированные 1998 годом

| 11 | 0 | Без рубрики
  1. 5
  2. 4
  3. 3
  4. 2
  5. 1
(0 голосов, в среднем: 0 из 5)

Специалисты Malwarebytes обнаружили вредоноса OSX.Backdoor.Quimitchin, которого специалисты Apple, в свою очередь, называли Fruitfly и уже адресовали данной проблеме апдейт. Специалисты сообщают, что вредонос также представляет опасность для Linux-систем (хотя Linux-варианта вредоноса исследователи не обнаружили) и подозревают, что где-то существует версия для Windows. Кроме того, Quimitchin, скорее всего, был создан много лет назад, так как в его коде были найдены очень старые куски.

За обнаружение Quimitchin стоит благодарить одного бдительного системного администратора: он заметил, что один из Mac в его сети генерирует очень странный трафик, и решил разобраться в проблеме. В итоге вредонос попал в руки специалистов Malwarebytes, которые пишут, что еще ни разу не встречали чего-то подобного.

На первый взгляд малварь проста и состоит всего из двух файлов: .plist, который поддерживает .client всегда запущенным, и самого .client, который содержит пейлоад. Последний файл явно более новый — это обфусцированный, написанный на Pearl скрипт. Помимо прочего, он используется для связи с C&C-серверами злоумышленников, а также может делать скриншоты и перехватывать информацию с вебкамер, передвигать курсор мыши, имитировать клики и нажатия клавиш, а также собирать данные о машине, как на Mac, так и в Linux-системах, и скрывать свое присутствие от macOS Dock. Кроме того, малварь собирает данные обо всех устройствах, подключенных к зараженной машине и находящихся в той же сети, а затем пытается связаться с ними.

Но куда больший интерес экспертов вызывал тот факт, что в коде Quimitchin присутствуют настолько старые части, что они старше самой Apple OS X, появившейся в 2001 году. Так, вредонос оперирует такими древними системными вызовами, как:

//код рекламы1
  • SGGetChannelDeviceList
  • SGSetChannelDevice
  • SGSetChannelDeviceInput
  • SGInitialize
  • SGSetDataRef
  • SGNewChannel
  • QTNewGWorld
  • SGSetGWorld
  • SGSetChannelBounds
  • SGSetChannelUsage
  • SGSetDataProc
  • SGStartRecord
  • SGGetChannelSampleDescription
Читайте также:   Китай отправит зонд на Марс в 2020 году

Кроме того, исследователи обнаружили опенсорсную библиотеку libjpeg, которая в последний раз обновлялась в 1998 году.

Дальнейшее исследование показало, что последнее обновление вредоноса улучшает «поддержку» Mac OS X Yosemite, а значит, Quimitchin существует уже как минимум два года.

 «Я могу придумать только одну причину, по которой эту малварь не обнаружили раньше: она использовалась только в узконаправленных атаках, что снижало шанс обнаружения.

В последние годы ходит множество слухов о китайских и российских хакерах, которые атакуют американских и европейских ученых, похищая данные. Хотя нет никаких улик, связывающих данную малварь с какой-либо конкретной группировкой, тот факт, что она была замечена в атаках против биотехнологических научных учреждений, вероятнее всего свидетельствует о том, что это был как раз такой случай шпионажа», — пишет специалист Malwarebytes Томас Рид (Thomas Reed).

Подробный технический анализ Quimitchin уже опубликован в блоге Malwarebytes.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *