Вредоносное ПО было создано несколько лет назад, однако обнаружили его только сейчас.
Эксперты компании Malwarebytes сообщили о первом обнаруженном в 2017 году вредоносном ПО для Mac. Бэкдор Quimitchin использует устаревший код и атакует медицинские исследовательские лаборатории.
По всей видимости, вредоносное ПО было создано несколько лет назад, однако обнаружили его только сейчас. Это можно объяснить тем, что бэкдор использовался исключительно для целевых атак, а они осуществляются не так часто.
Как отмечают эксперты, за последние несколько лет не раз появлялись сообщения о русских и китайских хакерах, атакующих американские исследовательские институты. Тем не менее, фактов, проливающих свет на создателей или распространителей Quimitchin, экспертам обнаружить не удалось. Поскольку вредонос использовался только в атаках на исследовательские лаборатории, наверняка его главной целью является кибершпионаж.
Бэкдор был обнаружен, когда администратор зафиксировал подозрительный трафик, исходящий от одного из Mac. В Quimitchin реализованы устаревшие системные вызовы, использовавшиеся еще до появления OS X, а также библиотека libjpeg с открытым исходным кодом, в последний раз обновлявшаяся в 1998 году.
Поскольку в оригинальном скрипте исследователи обнаружили команды оболочки Linux, они решили запустить бэкдор на Linux-машине. Как оказалось, практически все, за исключением кода Mach-O (формат исполняемых файлов в ОС от Apple), работало отлично. Эксперты допускают существование вариантов Quimitchin, предназначенных для Linux, где вместо Mach-O используется исполняемый файл Linux.
Основными функциями вредоноса является похищение снимков экрана и доступ к web-камерам на зараженных Mac. Кроме того, бэкдор способен составлять карту локальной сети и предоставляет злоумышленникам возможность удаленно управлять ею.
Apple назвала данное вредоносное ПО Fruitfly и пообещала вскоре выпустить решение безопасности для борьбы с ним.
Собираем и анализируем опыт профессионалов ИБ