A empresa russa de antivírus Dr. A Web identificou um botnet Mac OS X com Reddit, que infectou milhares de computadores comprometidos. De acordo com os pesquisadores de segurança, o botnet infectou mais de 18 000 Macs a partir de 29 de setembro.
O que é Mac OS X Botnet??
Os especialistas do Dr.. A empresa de antivírus da Web relatou a disseminação de um novo botnet criado com base no malware Mac.BackDoor.iWorm. Foi calculado que mais de 18 500 endereços IP únicos foram usados pelos computadores infectados para se conectar ao botnet. Quase um quarto dos computadores estão localizados nos Estados Unidos, seguido por computadores no Canadá e no Reino Unido.
Os alvos do novo botnet são principalmente computadores Apple, que estão executando o Mac OS X. É curioso mencionar que o malware Mac.BackDoor.iWorm está usando uma pesquisa de postagens do Reddit em uma lista de servidores do Minecraft, que é sub-reddit para recuperação de endereços IP para sua rede de comando e controle. Os pesquisadores de segurança descobriram que o sub-reddit foi eliminado do C&Os dados C e a conta responsável por postar os dados parecem estar encerrados.
Distribuição de botnet do Mac OS X
O malware Mac.BackDoor.iWorm foi desenvolvido usando Lua e C ++ e usa criptografia em suas rotinas. Quando o malware é lançado inicialmente, os dados de configuração são salvos em um arquivo separado e ele tenta ler o conteúdo do diretório da Biblioteca, a fim de saber quais aplicativos instalados o malware deve evitar.
O relatório publicado pelos especialistas do Dr.. A Web não fornece informações sobre como o Mac.BackDoor.iWorm é distribuído para as vítimas de malware. O relatório aponta que o programa instala o malware no diretório da Biblioteca na pasta inicial da conta do usuário afetado. O malware é ainda disfarçado como diretório de suporte de aplicativo JavaW. Então, o dropper gera um arquivo OS X p-list que é disfarçado como o aplicativo com.JavaW e permite a inicialização automática através de / Library / LaunchDaemons / do bot toda vez que o sistema é iniciado.
Como o botnet do Mac OS X afeta o computador do usuário?
O malware bot procura um lugar na pasta Biblioteca do usuário para armazenar um arquivo de configuração e, em seguida, faz uma conexão com a página de pesquisa do Reddit. O bot então usa um algoritmo hash MD5 para codificar a data atual. Ele também usa o primeiro 8 bytes para pesquisar a lista MineCraftServer do Reddit, onde as postagens legítimas tinham mais de um ano.
Uma pesquisa recém-conduzida nos servidores mais recentes que foram identificados no sub-reddit por Ars, descobriu que a maioria de seus endereços IP são colocados em sistemas comprometidos. Os especialistas dizem que é improvável que o botnet seja completamente encerrado. O malware do Mac OS X pode baixar arquivos adicionais e executar comandos nos sistemas infectados. É por isso que os especialistas dizem que uma nova versão deste botnet pode já existir e se espalhar com outro malware. atualmente, ambos Dr. Os especialistas da Web e do Bitdefender detectaram variantes do botnet.
Deve-se afirmar que o Reddit não está espalhando a infecção; está oferecendo uma plataforma para os autores do bot se comunicarem com os computadores Mac que eles já conseguiram infectar.
Mac OS X Botnet - Detecção e proteção
Os proprietários de Mac podem se defender contra o malware. Jacob Salmela, um desenvolvedor, postou instruções descritivas sobre como criar um conjunto de ações de pasta do OS X, que informará ao usuário se o seu sistema está infectado.