在最近的攻击中发现早期的Mac恶意软件,可以在Linux上工作

华盟原创文章投稿奖励计划
在最近的攻击中发现早期的Mac恶意软件,可以在Linux上工作

 

苹果修补了MacOS来避免一个由Malwarebytes发现的后门木马攻击,苹果工程师把这个木马命名为果蝇,Malwarebytes检测为OSX.Backdoor.Quimitchin。


今年发现,Malwarebytes说这个Mac后门包含的程序允许它在Linux系统上的一些有限的容量中执行。


对代码的分析显示,恶意软件很容易被检测,因为它的持久性机制,通过隐藏文件创建启动代理,这是大多数Mac安全产品能够轻松检测的。


Fruitfly恶意软件使用古代码构建


恶意软件源代码中的工件指出这个威胁存在多年而没有被检测到的事实。 最值得注意的是,Fruitfly收到了Yosemite(Mac OS X 10.10)的更新,该苹果版本于2014年10月发布。


此外,恶意软件使用非常古老的代码,例如自OS X(2001)发布之前未被开发者使用的系统调用,以及上次在1998年更新的称为libjpeg的库。


这意味着它的创建者很久以前就编写了代码,并逐渐更新它,或者只是使用旧的已弃用的代码,他可能复制粘贴其他恶意软件或代码。


Malwarebytes团队还怀疑,Fruitfly作者可能使用旧代码“以避免触发任何可能期望更新的代码的行为检测[系统]。


Fruitfly可以截图,访问网络摄像头


根据Malwarebytes分析,Fruitfly可以拍摄用户的屏幕截图,访问网络摄像头,模拟按键,与鼠标光标交互,提供远程控制访问,隐藏其进程从macOS Dock,并上传被盗的数据


尽管研究人员还没有发现Linux版本,这些功能中的一些也通过允许Fruitfly在Linux机器上运行的代码翻倍。


此外,一个神秘的Windows恶意软件也连接和使用与Fruitfly相同的C&C服务器,使研究人员相信,该工具的作者可能操作恶意软件在三个主要操作系统上运行。


Malwarebytes分析师Thomas Reed说,“Fruitfly的分析师表示:”我认为这种恶意软件现在还没有被发现的唯一原因是它被用于非常严格的目标攻击,限制了它的暴露。


里德没有提供任何深入的细节或证据,但他还说,Fruitfly可能被用于针对生物医学研究中心的攻击,和可能由经济或国家支持的间谍活动。
华盟知识星球入口


Fruitfly的操作模式的技术的分解已经发布在Malwarebytes博客上了。
本文原创,作者:congtou,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/31189.html

发表评论