感染数百台Macs的“反常”恶意软件多年来一直未被发现

  专家玩法     |      2018-06-17

一个神秘的恶意软件让攻击者秘密控制网络摄像头、键盘和其他敏感资源,它已经感染了Macs至少五年了。已知感染人数接近400人,可能更高,但直到最近仍未被发现,而且可能已经活跃了近十年。进一步准备新发现的在野外发现的Mac恶意软件,安全公司Synack的研究员LinuxPatrick Wardle也很有效,他说,恶意软件是恶意程序的变种,在传播了至少两年后,于1月份被揭露。被一些人戏称为“果蝇”的两个恶意软件样本都捕捉截图、击键、网络摄像头图像以及每个受感染Mac的信息。两代果蝇还收集有关连接到同一网络的设备的信息。在安全公司Malwarebytes的研究人员发现了感染四个苹果电脑的早期果蝇变种后,苹果更新了苹果电脑,自动检测恶意软件。相比之下,Wardle发现的变种感染了更多的Macs,而macOS和商用防病毒产品都没有发现。在分析了新的变体之后,Wardle能够解密硬编码到恶意软件中的多个备份域。令他惊讶的是,这些域名依然可用。在注册其中一个地址后的两天内,将近400个感染病毒的Macs连接到服务器,大部分来自位于美国的家庭。尽管Wardle只观察了与他的服务器相连的Macs的IP地址和用户名,但他有能力使用恶意软件来监视无意中感染的用户。

这表明有一些头脑有病的人为了阴险的目标攻击每天的Mac用户, Wardle告诉Ars。尽管感染的方法仍然未知,但Wardle怀疑它涉及诱骗用户点击恶意链接,而不是利用应用程序或macOS中的漏洞。许多Mac用户对其Mac的安全性过于自信。[这个发现]只是向日常用户重申,也许有人试图黑客攻击他们的电脑。

为什么?除了感染手段不明外,恶意软件的确切用途也不清楚。瓦尔说,他没有发现任何证据表明恶意软件可以用来安装赎金软件或收集银行凭证。这在很大程度上消除了furfly开发人员受到财务利润激励的可能性。与此同时,家庭用户的集中在很大程度上排除了恶意软件被国家资助的黑客设计用来监视目标的可能性。沃尔德说:「我不知道是无聊的人还是有不正当目标的人。」如果有一个无聊的少年在监视我,那还是会有很大的感情创伤。如果它打开了网络摄像头,那是出于反常的原因。

Wardle说,恶意软件使用的主要命令和控制服务器已经提前关闭,但许多受影响的Macs从未消毒过。因此,受感染的Macs在备份服务器可用时立即向备份服务器报告。研究人员推测,果蝇因此被其创造者遗弃。如备份服务器所示,任何人只要花时间注册其中一个硬编码域,Macs都很容易受到间谍活动的影响。

Wardle已经向执法官员报告了他的所有发现。他说,已知与恶意软件相关的所有域都不再可用,这一举措基本上抵消了威胁。苹果公司的代表没有回复一封寻求对此帖子发表评论的电子邮件。

虽然备份服务器Wardle的设置使他能够发现仍受果蝇变种感染的Macs,但也使他能够快速分析恶意软件是如何工作的。通常,研究人员必须进行一个称为逆向工程的艰苦过程来记录内部工作。通过感染实验室计算机并观察它如何与备份服务器交互,研究人员能够更容易地理解各种命令是如何工作的。瓦尔星期三将在拉斯维加斯举行的黑帽安全会议上,在一个名为攻击性恶意软件分析:通过自定义C & C服务器解剖OSX / furfly的简报中,讲述这个过程。

最新的果蝇变种有趣的一个方面是它在雷达下飞行了很长时间。恶意软件依赖于很久以前就已经停用的功能,一旦Mac受到感染,就会使用粗糙的方法保持安装状态。与更新、更复杂的恶意软件相比,furfly更易于检测。然而,无论出于什么原因,直到最近才被人抓住。Wardle开发的两个Mac软件会给受害者一个强烈的感染迹象。一个叫布洛克的人会警告可疑的发射ag恶意软件使用的输入。第二个工具叫做“监督”,它在应用程序试图访问Mac网络摄像头或麦克风时提供通知。最近向病毒总量恶意软件检测服务提交的一份报告显示,前56个防病毒和端点防护产品中有19个现在检测到恶意软件。