W zeszłym tygodniu rosyjska firma antywirusowa Doctor Web ujawnione nowo odkryty fragment złośliwego oprogramowania dla systemu OS X, znanego jako Mac.BackDoor.iWorm, który w tamtym czasie zaatakował około 17 000 maszyn na całym świecie. Chociaż dokładny mechanizm infekcji był niejasny, interesujący zwrot w tej historii polega na tym, że skompromitowane maszyny uruchamiają zapytania wyszukiwania w serwisie Reddit w celu uzyskania instrukcji dotyczących tego, które serwery kontroli i kontroli powinny być używane do zarządzania botnetem.
Warto wspomnieć, że w celu uzyskania listy adresów serwerów kontrolnych bot korzysta z usługi wyszukiwania na reddit.com i - jako zapytanie wyszukiwania - określa wartości szesnastkowe pierwszych 8 bajtów skrótu MD5 bieżącego Data. Wyszukiwarka reddit.com zwraca stronę internetową zawierającą listę serwerów i portów C&C botnetów opublikowanych przez przestępców w komentarzach do postu minecraftserverlists pod kontem vtnhiaovyd.
Po połączeniu z serwerem dowodzenia i kontroli backdoor otwierany przez złośliwe oprogramowanie w systemie użytkownika może otrzymywać instrukcje wykonywania różnych zadań, od kradzieży poufnych informacji po otrzymywanie lub rozpowszechnianie dodatkowego złośliwego oprogramowania.
Starając się zaradzić temu zagrożeniu, firma Apple zaktualizowała swój system ochrony przed złośliwym oprogramowaniem „Xprotect”, aby rozpoznawał dwa różne warianty złośliwego oprogramowania iWorm i uniemożliwiał ich instalację na komputerach użytkowników.
Wprowadzony po raz pierwszy w systemie OS X Snow Leopard, Xprotect to podstawowy system ochrony przed złośliwym oprogramowaniem, który rozpoznaje i ostrzega użytkowników o obecności różnych rodzajów złośliwego oprogramowania. Biorąc pod uwagę względną rzadkość złośliwego oprogramowania atakującego system OS X, definicje złośliwego oprogramowania są aktualizowane rzadko, chociaż komputery użytkowników codziennie automatycznie sprawdzają dostępność aktualizacji. Firma Apple korzysta również od czasu do czasu z systemu Xprotect w celu wymuszenia minimalnych wymagań dotyczących wersji dla wtyczek, takich jak Flash Player i Java, zmuszając użytkowników do uaktualnienia ze starszych wersji, o których wiadomo, że niosą ze sobą poważne zagrożenia bezpieczeństwa.
Popularne Wiadomości