Vorige week heeft het Russische antivirusbedrijf Doctor Web onthuld een nieuw ontdekt stukje OS X-malware bekend als Mac.BackDoor.iWorm dat destijds ongeveer 17.000 machines over de hele wereld had getroffen. Hoewel het exacte infectiemechanisme onduidelijk was, is een interessante wending aan het verhaal dat gecompromitteerde machines zoekopdrachten uitvoeren op Reddit om instructies te krijgen over welke commando- en controleservers moeten worden gebruikt om het botnet te beheren.
Het is vermeldenswaard dat om een adreslijst van de controleserver te verkrijgen, de bot de zoekservice op reddit.com gebruikt en -- als zoekopdracht -- hexadecimale waarden specificeert van de eerste 8 bytes van de MD5-hash van de huidige datum. De zoekopdracht op reddit.com retourneert een webpagina met een lijst van botnet C&C-servers en poorten die door criminelen zijn gepubliceerd in opmerkingen bij de post minecraftserverlists onder het account vtnhiaovyd.
Eenmaal verbonden met een command and control-server, kan de achterdeur die door de malware op het systeem van de gebruiker wordt geopend, instructies ontvangen om verschillende taken uit te voeren, van het stelen van gevoelige informatie tot het ontvangen of verspreiden van aanvullende malware.
In een poging om de dreiging aan te pakken, heeft Apple nu zijn 'Xprotect'-antimalwaresysteem bijgewerkt om twee verschillende varianten van de iWorm-malware te herkennen en te voorkomen dat ze op de computers van gebruikers worden geïnstalleerd.
Xprotect werd voor het eerst geïntroduceerd met OS X Snow Leopard en is een rudimentair anti-malwaresysteem dat gebruikers herkent en waarschuwt voor de aanwezigheid van verschillende soorten malware. Gezien de relatieve zeldzaamheid van malware die gericht is op OS X, worden de malwaredefinities niet vaak bijgewerkt, hoewel de machines van gebruikers dagelijks automatisch op updates controleren. Apple gebruikt ook af en toe het Xprotect-systeem om minimale versievereisten voor plug-ins zoals Flash Player en Java af te dwingen, waardoor gebruikers gedwongen worden te upgraden van oudere versies waarvan bekend is dat ze aanzienlijke veiligheidsrisico's met zich meebrengen.
Populaire Berichten