Поделиться
Редкий троян для Mac OS три года терроризировал медицинские компании
Антивирусный вендор Malwarebytes выявил редкий зловред, атакующий компьютеры Apple Mac. Вредоносное ПО, получившее название Fruitfly у Apple и Quitmitchin у Malwarebytes, по-видимому, использовалось на протяжении нескольких лет для таргетированных атак и кибершпионажа. Мишенями чаще всего становились компании, занимавшиеся биомедицинскими исследованиями.
Фруктовый паразит
Компания Malwarebytes объявила о поимке зловреда, атакующего компьютеры Apple Mac. Эксперты назвали его Fruitfly («плодовая мушка»).
Специалисты считают, что это довольно редкий пример вредоносного ПО, успешно заражающего Mac. Они отмечают, что подавляющее число зловредов пишутся под Windows — просто в силу того, что компьютеры под этой операционной системой намного более распространены, нежели ПК Apple.
Fruitfly был выявлен по чистой случайности: некий системный администратор обнаружил странный трафик, исходящий с ПК под операционной системой Mac OS X.
Оказалось, что трафик генерировало вредоносное ПО. Как написал аналитик Malwarebytes, эксперт по безопасности Mac OS Томас Рид (Thomas Reed), ничего похожего он прежде не видел.
Вредонос, состоящий из двух файлов, поначалу показался эксперту довольно незамысловатым, однако на поверку оказался весьма занятным явлением.
Антикварные компоненты
Fruitfly регулярно делает скриншоты и пытается получить доступ к веб-камере, причем для этого используются функци, которые Рид назвал «антикварными»: они применялись еще до выхода Mac OS X (первый релиз которой датирован 2001 г.).
Также зловред использует открытую библиотеку libjpeg, которая в последний раз обновлялась в 1998 г.
Java, perl и команды Shell
Зловред также содержит код Java, с помощью которого злоумышленники могут удаленно управлять компьютером, в том числе менять местоположения курсора мыши, имитировать клики, а также нажатия клавиш на клавиатуре. Это рудиментарный, но вполне действенный способ удаленного управления, считают эксперты.
Помимо этого, Fruitfly может скачивать со своего командного сервера дополнительные модули для сканирования сетевого окружения и установления соединения с устройствами в локальной сети.
Примечательно, что в зловреде присутствуют команды оболочки shell для Linux. Как выяснилось, зловред успешно запускается под Linux, не работает только код, написанный специально под Mac.
Он здесь не первый день
Исследователь предполагает, что Fruitfly может циркулировать по Сети уже несколько лет. Ему и его коллегам удалось найти в библиотеке VirusTotal исполняемый код под Windows, который устанавливает соединения с тем же C&C-сервером, что и Fruitfly и также использует библиотеку libjpeg. Сэмплы этого зловреда попали в VirusTotal в 2013 г. Лишь несколько антивирусных движков способны выявить его присутствие, и то под самыми общими обозначениями.
По словам Рида, в тексте perl-скрипта, используемом для сканирования сетевого окружения, обнаружились комментарии, указывающие на изменения, которые были внесены специально для версии Mac OS X 10.10 Yosemite, вышедшей в 2014 г.
Присутствие «антикварного» кода, по мнению Рида, может означать, что зловред действительно имеет весьма почтенный возраст. Но куда более вероятно, считает автор исследования, что создатели Fruitfly не слишком хорошо разбираются в Mac OS X и использовали очень старую документацию. Либо же они использовали старые функции, чтобы избежать противодействия со стороны систем безопасности Mac OS X, чьи средства поведенческого анализа скорее среагируют на более новый код.
«Что забавно, несмотря на возраст и сложность зловреда, он использует всю тот же незамысловатый метод обеспечения постоянного присутствия в системе, что и другие зловреды под Mac: скрытый файл и агент запуска. Таким образом, его легко обнаружить, если появляется повод для пристального изучения заражённой машины (например, подозрительный трафик). Его также легко выявить и устранить», — пишет Рид.
По его мнению, единственная причина, по которой зловред оставался незамеченным до сих пор, это его редкое использование. Fruitfly применялся только в узконаправленных атаках.
Ну, а его функции ясно указывают на «шпионскую» природу зловреда.
«Кимитчин»
Fruitfly — это название, которое зловреду присвоила компания Apple. Malwarebytes дала другое наименование — OSX.Backdoor.Quimitchin. «Кимитчинами» назывались шпионы, которых ацтеки тайно засылали во вражеские племена. «Учитывая возраст некоторых элементов зловреда, мы решили, что такое название - в самый раз», — заметил Рид.
Apple выпустила соответствующее обновление для Mac OS X, которое устанавливается автоматически.
Интересно, что никто так и не знает, каким именно образом этот зловред заражает компьютеры.
Эффект репутации
«Несмотря на то, что у Mac OS X репутация достаточно безопасной операционной системы, вредоносное ПО существует и для нее. Уверенность некоторых пользователей устройств Apple в собственной безопасности зачастую работает на злоумышленников, так как они не ожидают атак и теряют бдительность, — говорит Дмитрий Гвоздев, генеральный директор компании «Монитор Безопасности». — Но программного обеспечения, полностью лишенного ошибок и уязвимостей, попросту не существует. В свою очередь, кибершпионские кампании обычно организуют серьезные профессионалы, которые как раз очень хорошо знают уязвимые места систем, которые собираются атаковать. Как часто бывает в таких случаях, нельзя сказать однозначно, действительно ли Fruitfly-Quimitchin является разработкой серьезных профессионалов. Возможно это и не так, поскольку профессионалы могли бы заметать следы и получше. Но как бы там ни было, этот зловред оставался незамеченным на протяжении длительного срока и выдал себя по чистой случайности».
Короткая ссылка
