De Russische gebaseerde antivirus bedrijf Dr. Web heeft een Reddit-aangedreven Mac OS X botnet geïdentificeerd, die heeft besmet duizenden geïnfecteerde computers. Volgens de security onderzoekers, het botnet heeft meer dan besmet 18 000 Macs met ingang van 29 september.
Wat is Mac OS X botnet?
De experts van Dr. Web antivirus bedrijf rapporteerde een verspreiding van een nieuwe botnet gebouwd op de achterkant van de malware Mac.BackDoor.iWorm. Er werd berekend dat meer dan 18 500 unieke IP-adressen zijn gebruikt door de geïnfecteerde computers om verbinding te maken met het botnet. Bijna kwart van de computers zijn gevestigd in de Verenigde Staten, gevolgd door computers in Canada en in het Verenigd Koninkrijk.
De doelstellingen van de nieuwe botnet zijn voornamelijk Apple-computers, die draaien op Mac OS X. Het is merkwaardig om dat Mac.BackDoor.iWorm malware noemen gebruikt een Reddit berichten te zoeken naar een Minecraft server lijst, die sub-reddit om IP-adressen opvragen voor zijn command and control-netwerk. De security onderzoekers hebben ontdekt dat de sub-reddit is uitgewist van C&C gegevens en de rekening die verantwoordelijk zijn voor het plaatsen van de gegevens lijkt te worden gesloten,.
Mac OS X botnet Distribution
Mac.BackDoor.iWorm malware is ontwikkeld met behulp van Lua en C en maakt gebruik van encryptie in haar routines. Als de malware in eerste instantie gelanceerd, de configuratie data wordt opgeslagen in een apart bestand en het probeert om de inhoud van de Library directory te lezen, om te weten welke applicaties de malware te voorkomen geïnstalleerd.
Het rapport van de experts van Dr. Web heeft geen informatie over hoe de Mac.BackDoor.iWorm wordt uitgekeerd aan de malware slachtoffers geven. Het rapport wijst erop dat het programma installeert de malware naar de Library directory op de folder rekening thuis van de betrokken gebruiker. De malware wordt verder vermomd als javaw applicatie support directory. Dan, de druppelaar genereert een OS X p-list file die is vermomd als de toepassing com.JavaW en maakt het automatisch opstarten via / Library / LaunchDaemons / van het bot elke keer als het systeem wordt opgestart.
Hoe werkt Mac OS X botnet Affect computer van de gebruiker?
De bot malware zoekt naar een plek op de map Bibliotheek van de gebruiker om een configuratie bestand op te slaan en maakt dan een verbinding met de zoekpagina van Reddit. De bot gebruikt vervolgens een MD5 hash-algoritme om de huidige datum te coderen. Het gebruikt ook de eerste 8 bytes om te zoeken Reddit's MineCraftServer Lijst, waar de legitieme berichten waren meer dan een jaar oud.
Een onlangs uitgevoerde enquête over de meest recente servers die in de sub-reddit hebben geïdentificeerd door Ars, heeft ontdekt dat de meeste van hun IP-adressen op gecompromitteerde systemen worden geplaatst. De deskundigen zeggen dat het onwaarschijnlijk is voor het botnet volledig worden stilgelegd. Mac OS X malware kunnen aanvullende bestanden te downloaden en uit te voeren commando's op de geïnfecteerde systemen. Dat is de reden waarom de deskundigen zeggen dat een nieuwe versie van dit botnet misschien al bestaande en verspreiden met andere malware. Momenteel, zowel Dr. Web en Bitdefender experts hebben varianten van het botnet ontdekt.
Hierbij moet worden vermeld dat Reddit de infectie niet wordt verspreidt; Het is het aanbieden van een platform voor de auteurs van het bot om te communiceren met de Mac-computers die ze al hebben weten te besmetten.
Mac OS X botnet - detectie en bescherming
De Mac-eigenaren kunnen zich verdedigen tegen de malware. Jacob Salmela, een ontwikkelaar, heeft beschrijvende instructies over hoe je een set van OS X map maatregelen creëren geplaatst, die de gebruiker zal informeren als zijn systeem is besmet.