Uma nova variante do malware do MacOS Fruitfly foi encontrada pelo pesquisador de segurança Patrick Wardle em cerca de 400 máquinas principalmente de usuários domésticos nos EUA.
Fruitfly
O malware foi divulgado pela primeira vez no início deste ano, e conseguiu capturar capturas de tela, ativar a webcam do computador, simular cliques do mouse e pressionar as teclas, baixar scripts e arquivos adicionais de servidores C&C (Command & Control) e coletar informações e conectar-se a outros dispositivos na rede local.
O fato de usar chamadas do sistema que datam de dias pré-OS X e uma versão da biblioteca libjpeg que data de 1998 parece indicar que o malware existe há muitos anos ou pode ser que o autor tenha escolhido usá-los para evitar o desencadeamento de detecções comportamentais dos sistemas de detecção atuais.
Fruitfly: a variante
A análise de Wardle de uma segunda variante parece apontar para um uso mais sinistro do malware e do design por seu autor.
Depois de descobrir alguns domínios de backup codificados nela e verificar que eles estavam disponíveis, ele registrou um deles. Numa questão de dias, quase 400 Macs infectados estão conectados, aguardando instruções sobre o que fazer.
A configuração de um servidor C&C personalizado também permitiu que ele descobrisse mais sobre os recursos do malware sem ter que fazer o engenharia reversa.
Ele descobriu que esta segunda variante possui muitas das capacidades de espionagem do primeiro, mas que não há nenhuma indicação de que o malware é usado para instalar o ransomware ou coletar credenciais bancárias on-line.
Ao levar esse fato em consideração, juntamente com o perfil dos alvos, parece que o malware não foi usado por criminosos cibernéticos que procuram um dinheiro rápido ou atacantes patrocinados pelo estado. É mais provável que o atacante seja alguém que tenha usado o malware para seus próprios objetivos “perversos”.
Mas, como os domínios C & C do malware estão atualmente indisponíveis, parece que o invasor o “abandonou”.
De acordo com a Wardle, esta variante é atualmente detectada por uma pequena porcentagem de soluções AV comerciais.
fonte: HelpNetSecurity by Zeljka Zorz por MindSec 26/07/2017
Deixe sua opinião!