Malware FruitFly niewykryty na macOS od „blisko dekady”
Patrick Wardle, specjalista od bezpieczeństwa pracujący dla firmy Synack, poinformował, że odkrył wariant znanego malware, którego niektórzy nazwali FruitFly.
Na wstępie zaznaczę, że tego malware użytkownicy musieli sobie sami zainstalować, potwierdzając to hasłem administratora.
FruitFly był dotychczas niewykryty i Patrick podejrzewa, że mógł być aktywny nawet przez blisko dekadę – nie podaje argumentów za tym twierdzeniem. Program, według raportu Wardle’a, potrafi robić screenshoty ekranu, logować wciskane klawisze i robić zdjęcia webcamem. Malware ponadto zbierał informacje o urządzeniach podłączonych do tej samej sieci.
Poprzedni wariant FruitFly zainfekował cztery Maki na świecie i szybko został zablokowany przez Apple. Wariant Wardle’a rzekomo zainfekował blisko 400 komputerów, głównie w USA. Patrickowi udało się wyciągnąć z jego kodu backupowe domeny internetowe, na które te dane były wysyłane. Z zaskoczeniem zobaczył, że domeny można kupić. Po ich rejestracji zainfekowane komputery natychmiast próbowały nawiązać z nimi komunikację. Po analizie FruitFly Patrick Wardle podejrzewa, że malware nie wykorzystywał żadnych dziur w macOS, a jedynie oszukiwał użytkowników, którzy sami go instalowali.
Powód istnienia tego malware’u nie jest znany. Nie znaleziono dowodów, żeby rejestrował informacje o logowaniu się do kont bankowych, ani żeby instalował ransomware. Co więcej, główna domena i serwer, na które dane z tych Maków trafiały, zostały już „jakiś czas temu” zdezaktywowane, czyli de facto komputery nic nie wysyłały (dopóki Wardle nie uruchomił backupowych domen).
Patrick Wardle poprowadzi wykład pt. Offensive Malware Analysis: Dissecting OSX/Fruitfly via a custom C&C Server na temat swojego odkrycia na zbliżającym się Black Hat Security Conference w Las Vegas.
Zaskakujące jest to, że nikt FruitFly nie wykrył przez tyle lat – zakładając oczywiście, że Patrick Wardle się nie myli, co jest mało prawdopodobne.
Wojtek Pietrusiewicz
Wydawca, fotograf, podróżnik, podcaster – niekoniecznie w tej kolejności. Lubię espresso, mechaniczne zegarki, mechaniczne klawiatury i zwinne samochody.