Специалисты Malwarebytes обнаружили вредоноса OSX.Backdoor.Quimitchin, которого специалисты Apple, в свою очередь, называли Fruitfly и уже адресовали данной проблеме апдейт. Специалисты сообщают, что вредонос также представляет опасность для Linux-систем (хотя Linux-варианта вредоноса исследователи не обнаружили) и подозревают, что где-то существует версия для Windows. Кроме того, Quimitchin, скорее всего, был создан много лет назад, так как в его коде были найдены очень старые куски.

За обнаружение Quimitchin стоит благодарить одного бдительного системного администратора: он заметил, что один из Mac в его сети генерирует очень странный трафик, и решил разобраться в проблеме. В итоге вредонос попал в руки специалистов Malwarebytes, которые пишут, что еще ни разу не встречали чего-то подобного.

На первый взгляд малварь проста и состоит всего из двух файлов: .plist, который поддерживает .client всегда запущенным, и самого .client, который содержит пейлоад. Последний файл явно более новый — это обфусцированный, написанный на Perl скрипт. Помимо прочего, он используется для связи с C&C-серверами злоумышленников, а также может делать скриншоты и перехватывать информацию с вебкамер, передвигать курсор мыши, имитировать клики и нажатия клавиш, а также собирать данные о машине, как на Mac, так и в Linux-системах, и скрывать свое присутствие от macOS Dock. Кроме того, малварь собирает данные обо всех устройствах, подключенных к зараженной машине и находящихся в той же сети, а затем пытается связаться с ними.

Но куда больший интерес экспертов вызывал тот факт, что в коде Quimitchin присутствуют настолько старые части, что они старше самой Apple OS X, появившейся в 2001 году. Так, вредонос оперирует такими древними системными вызовами, как:

  • SGGetChannelDeviceList
  • SGSetChannelDevice
  • SGSetChannelDeviceInput
  • SGInitialize
  • SGSetDataRef
  • SGNewChannel
  • QTNewGWorld
  • SGSetGWorld
  • SGSetChannelBounds
  • SGSetChannelUsage
  • SGSetDataProc
  • SGStartRecord
  • SGGetChannelSampleDescription

Кроме того, исследователи обнаружили опенсорсную библиотеку libjpeg, которая в последний раз обновлялась в 1998 году.

Дальнейшее исследование показало, что последнее обновление вредоноса улучшает «поддержку» Mac OS X Yosemite, а значит, Quimitchin существует уже как минимум два года.

 «Я могу придумать только одну причину, по которой эту малварь не обнаружили раньше: она использовалась только в узконаправленных атаках, что снижало шанс обнаружения.

В последние годы ходит множество слухов о китайских и российских хакерах, которые атакуют американских и европейских ученых, похищая данные. Хотя нет никаких улик, связывающих данную малварь с какой-либо конкретной группировкой, тот факт, что она была замечена в атаках против биотехнологических научных учреждений, вероятнее всего свидетельствует о том, что это был как раз такой случай шпионажа», — пишет специалист Malwarebytes Томас Рид (Thomas Reed).

Подробный технический анализ Quimitchin уже опубликован в блоге Malwarebytes.



2 комментария

  1. ShadowHD

    21.01.2017 at 18:56

    «написанный на Pearl»? Может таки обычный Perl?

  2. Int

    24.01.2017 at 12:54

    Если библиотека не обновлялась, это не значит, что её используют прямо с момента релиза. И если вызовы давнишние, это тоже не значит, что они прямо в момент появления сразу были использованы. Что за глупость? Почему предполагается, что человек обязательно использует только самые новые библиотеки и технологии? Что за хипстер головного мозга?

Оставить мнение