Специалисты Malwarebytes обнаружили вредоноса OSX.Backdoor.Quimitchin, которого специалисты Apple, в свою очередь, называли Fruitfly и уже адресовали данной проблеме апдейт. Специалисты сообщают, что вредонос также представляет опасность для Linux-систем (хотя Linux-варианта вредоноса исследователи не обнаружили) и подозревают, что где-то существует версия для Windows. Кроме того, Quimitchin, скорее всего, был создан много лет назад, так как в его коде были найдены очень старые куски.
За обнаружение Quimitchin стоит благодарить одного бдительного системного администратора: он заметил, что один из Mac в его сети генерирует очень странный трафик, и решил разобраться в проблеме. В итоге вредонос попал в руки специалистов Malwarebytes, которые пишут, что еще ни разу не встречали чего-то подобного.
На первый взгляд малварь проста и состоит всего из двух файлов: .plist, который поддерживает .client всегда запущенным, и самого .client, который содержит пейлоад. Последний файл явно более новый — это обфусцированный, написанный на Perl скрипт. Помимо прочего, он используется для связи с C&C-серверами злоумышленников, а также может делать скриншоты и перехватывать информацию с вебкамер, передвигать курсор мыши, имитировать клики и нажатия клавиш, а также собирать данные о машине, как на Mac, так и в Linux-системах, и скрывать свое присутствие от macOS Dock. Кроме того, малварь собирает данные обо всех устройствах, подключенных к зараженной машине и находящихся в той же сети, а затем пытается связаться с ними.
Но куда больший интерес экспертов вызывал тот факт, что в коде Quimitchin присутствуют настолько старые части, что они старше самой Apple OS X, появившейся в 2001 году. Так, вредонос оперирует такими древними системными вызовами, как:
- SGGetChannelDeviceList
- SGSetChannelDevice
- SGSetChannelDeviceInput
- SGInitialize
- SGSetDataRef
- SGNewChannel
- QTNewGWorld
- SGSetGWorld
- SGSetChannelBounds
- SGSetChannelUsage
- SGSetDataProc
- SGStartRecord
- SGGetChannelSampleDescription
Кроме того, исследователи обнаружили опенсорсную библиотеку libjpeg, которая в последний раз обновлялась в 1998 году.
Дальнейшее исследование показало, что последнее обновление вредоноса улучшает «поддержку» Mac OS X Yosemite, а значит, Quimitchin существует уже как минимум два года.
«Я могу придумать только одну причину, по которой эту малварь не обнаружили раньше: она использовалась только в узконаправленных атаках, что снижало шанс обнаружения.
В последние годы ходит множество слухов о китайских и российских хакерах, которые атакуют американских и европейских ученых, похищая данные. Хотя нет никаких улик, связывающих данную малварь с какой-либо конкретной группировкой, тот факт, что она была замечена в атаках против биотехнологических научных учреждений, вероятнее всего свидетельствует о том, что это был как раз такой случай шпионажа», — пишет специалист Malwarebytes Томас Рид (Thomas Reed).
Подробный технический анализ Quimitchin уже опубликован в блоге Malwarebytes.
