Антивірусний вендор Malwarebytes виявив рідкісний зловредів, атакуючий комп'ютери Apple Mac. Шкідливе ПО, яке отримало назву Fruitfly у Apple і Quitmitchin у Malwarebytes, мабуть, використовувалося протягом декількох років для націлених атак і кібершпіонажу. Мішенями найчастіше ставали компанії, які займалися біомедичними дослідженнями.

фруктовий паразит.

Компанія Malwarebytes оголосила про затримання зловреда, атакуючого комп'ютери Apple Mac. Експерти назвали його Fruitfly ( «плодова мушка»).

Фахівці вважають, що це досить рідкісний приклад шкідливого ПО, успішно заражає Mac. Вони відзначають, що переважна кількість зловредів пишуться під Windows - просто в силу того, що комп'ютери під цією операційною системою набагато більш поширені, ніж ПК Apple.

Fruitfly було виявлено абсолютно випадково: якийсь системний адміністратор виявив дивний трафік, що виходить з ПК під операційною системою Mac OS X.

Виявилося, що трафік генерував шкідливе ПЗ. Як написав аналітик Malwarebytes, експерт з безпеки Mac OS Томас Рід (Thomas Reed), нічого схожого він раніше не бачив.

Шкідливий, що складається з двох файлів, спочатку здався експерту досить нехитрим, проте на перевірку виявився вельми цікавим явищем.

антикварні компоненти.

Fruitfly регулярно робить скріншоти і намагається отримати доступ до веб-камері, причому для цього використовуються функціонально, які Рід назвав «антикварними»: вони застосовувалися ще до виходу Mac OS X (перший реліз якої датований 2001 р.

Також зловредів використовує відкриту бібліотеку libjpeg, яка в останній раз оновлювалася в 1998 р.

Java, perl і команди Shell.

Зловредів також містить код Java, за допомогою якого зловмисники можуть дистанційно керувати комп'ютером, в тому числі змінювати розташування курсора миші, імітувати кліки, а також натискання клавіш на клавіатурі. Це рудиментарний, але цілком дієвий спосіб віддаленого управління, вважають експерти.

Крім цього, Fruitfly може завантажувати зі свого командного сервера додаткові модулі для сканування мережевого оточення і встановлення з'єднання з пристроями в локальній мережі.

Примітно, що в зловредів присутні команди оболонки shell для Linux. Як з'ясувалося, зловредів успішно запускається під Linux, не працює тільки код, написаний спеціально під Mac.

Він тут не перший день.

Дослідник припускає, що Fruitfly може циркулювати по Мережі вже кілька років. Йому і його колегам вдалося знайти в бібліотеці VirusTotal виконуваний код під Windows, який встановлює з'єднання з тим же C & C-сервером, що і Fruitfly і також використовує бібліотеку libjpeg. Семпли цього зловреда потрапили в VirusTotal в 2013 р. Лише кілька антивірусних движків здатні виявити його присутність, і то під найзагальнішими позначками.

За словами Ріда, в тексті perl-скрипта, використовуваному для сканування мережевого оточення, виявилися коментарі, які вказують на зміни, які були внесені спеціально для версії Mac OS X 10. 10 Yosemite, що вийшла в 2014 р.

Присутність «антикварного» коду, на думку Ріда, може означати, що зловредів дійсно має досить поважний вік. Але куди більш імовірно, вважає автор дослідження, що творці Fruitfly не дуже добре розбираються в Mac OS X і використовували дуже стару документацію. Або ж вони використовували старі функції, щоб уникнути протидії з боку систем безпеки Mac OS X, чиї кошти поведінкового аналізу швидше зреагують на новіший код.

«Що забавно, незважаючи на вік і складність зловреда, він використовує всю той же нехитрий метод забезпечення постійної присутності в системі, що і інші зловредів під Mac: прихований файл і агент запуску. Таким чином, його легко виявити, якщо з'являється привід для пильної вивчення зараженої машини (наприклад, підозрілий трафік). Його також легко виявити і усунути », - пише Рід.

На його думку, єдина причина, по якій зловредів залишався непоміченим досі, це його рідкісне використання. Fruitfly застосовувався тільки в вузько атаках.

Ну, а його функції ясно вказують на «шпигунську» природу зловреда.

«Кімітчін».

Fruitfly - це назва, яка зловредів привласнила компанія Apple. Malwarebytes дала інше найменування - OSX. Backdoor. Quimitchin. «Кімітчінамі» називалися шпигуни, яких ацтеки таємно засилали у ворожі племена. «З огляду на вік деяких елементів зловреда, ми вирішили, що таку назву - в самий раз», - зауважив Рід.

Apple випустила відповідне оновлення для Mac OS X, яке встановлюється автоматично.

Цікаво, що ніхто так і не знає, яким саме чином цей зловредів заражає комп'ютери.

ефект репутації.

«Не дивлячись на те, що у Mac OS X репутація досить безпечної операційної системи, шкідливе ПЗ існує і для неї. Впевненість деяких користувачів пристроїв Apple у власній безпеці часто працює на зловмисників, так як вони не очікують атак і втрачають пильність, - говорить Дмитро Гвоздьов, генеральний директор компанії «Монітор Безпеки». - Але програмного забезпечення, повністю позбавленого помилок і вразливостей, просто не існує.

У свою чергу, кібершпіонскіе кампанії зазвичай організовують серйозні професіонали, які як раз дуже добре знають вразливі місця систем, які збираються атакувати. Як часто буває в таких випадках, не можна сказати однозначно, чи дійсно Fruitfly-Quimitchin є розробкою серйозних професіоналів. Можливо це і не так, оскільки професіонали могли б замітати сліди і трохи краще. Але як би там не було, цей шкідник залишався непоміченим протягом тривалого терміну і видав себе по чистій випадковості ».