Специалисты Malwarebytes обнаружили вредоноса OSX.Backdoor.Quimitchin, которого специалисты Apple, в свою очередь, называли Fruitfly и уже адресовали данной проблеме апдейт. Специалисты сообщают, что вредонос также представляет опасность для Linux-систем (хотя Linux-варианта вредоноса исследователи не обнаружили) и подозревают, что где-то существует версия для Windows. Кроме того, Quimitchin, скорее всего, был создан много лет назад, так как в его коде были найдены очень старые куски.

За обнаружение Quimitchin стоит благодарить одного бдительного системного администратора: он заметил, что один из Mac в его сети генерирует очень странный трафик, и решил разобраться в проблеме. В итоге вредонос попал в руки специалистов Malwarebytes, которые пишут, что еще ни разу не встречали чего-то подобного.

На первый взгляд малварь проста и состоит всего из двух файлов: .plist, который поддерживает .client всегда запущенным, и самого .client, который содержит пейлоад. Последний файл явно более новый — это обфусцированный, написанный на Perl скрипт. Помимо прочего, он используется для связи с C&C-серверами злоумышленников, а также может делать скриншоты и перехватывать информацию с вебкамер, передвигать курсор мыши, имитировать клики и нажатия клавиш, а также собирать данные о машине, как на Mac, так и в Linux-системах, и скрывать свое присутствие от macOS Dock. Кроме того, малварь собирает данные обо всех устройствах, подключенных к зараженной машине и находящихся в той же сети, а затем пытается связаться с ними.

Но куда больший интерес экспертов вызывал тот факт, что в коде Quimitchin присутствуют настолько старые части, что они старше самой Apple OS X, появившейся в 2001 году. Так, вредонос оперирует такими древними системными вызовами, как:

  • SGGetChannelDeviceList
  • SGSetChannelDevice
  • SGSetChannelDeviceInput
  • SGInitialize
  • SGSetDataRef
  • SGNewChannel
  • QTNewGWorld
  • SGSetGWorld
  • SGSetChannelBounds
  • SGSetChannelUsage
  • SGSetDataProc
  • SGStartRecord
  • SGGetChannelSampleDescription

Кроме того, исследователи обнаружили опенсорсную библиотеку libjpeg, которая в последний раз обновлялась в 1998 году.

Дальнейшее исследование показало, что последнее обновление вредоноса улучшает «поддержку» Mac OS X Yosemite, а значит, Quimitchin существует уже как минимум два года.

 «Я могу придумать только одну причину, по которой эту малварь не обнаружили раньше: она использовалась только в узконаправленных атаках, что снижало шанс обнаружения.

В последние годы ходит множество слухов о китайских и российских хакерах, которые атакуют американских и европейских ученых, похищая данные. Хотя нет никаких улик, связывающих данную малварь с какой-либо конкретной группировкой, тот факт, что она была замечена в атаках против биотехнологических научных учреждений, вероятнее всего свидетельствует о том, что это был как раз такой случай шпионажа», — пишет специалист Malwarebytes Томас Рид (Thomas Reed).

Подробный технический анализ Quimitchin уже опубликован в блоге Malwarebytes.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    2 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии