Специалисты Malwarebytes рассказали о первой вредоносной программе для Mac, выявленной в текущем году. Бэкдор Quimitchin применяет устаревший код и проводит атаки на медицинские исследовательские лаборатории.
Видимо, вредоносная программа была создана несколько лет назад, но ее заметили лишь сейчас. Это могло произойти, потому что бэкдор применялся только в рамках целевых атак, которые проводятся не очень часто.
По словам экспертов, в течение последних нескольких лет не единожды появлялись сообщения о хакерах из РФ и КНР, атакующих исследовательские институты в США. Однако специалисты не выявили фактов, которые бы проливали свет на разработчиков или распространителей Quimitchin. Так как вредоносная программа применялась лишь в рамках атак на исследовательские лаборатории, главной целью хакеров, скорее всего, является кибершпионаж.
Программа была обнаружена, когда системный администратор заметил подозрительный трафик, который исходит от одного из Mac. В Quimitchin используются устаревшие системные вызовы, применявшиеся еще до появления OS X, а также библиотека libjpeg с открытым исходным кодом, которую в последний раз обновляли в 1998 году.
Так как в оригинальном скрипте эксперты нашли команды оболочки Linux, они запустили бэкдор на компьютере с Linux. В результате, правильно функционировало все, кроме кода Mach-O. Mach-O – это формат исполняемых файлов в операционных системах от Apple. Исследователи предполагают, что могут существовать варианты Quimitchin для Linux, где вместо Mach-O применяется исполняемый файл Linux.
Вредоносная программа похищает снимки экрана и получает доступ к веб-камерам на инфицированных Mac. Также бэкдор может составлять карту локальной сети и дает хакерам возможность дистанционно управлять ею.
В Apple присвоили этой вредоносной программе имя Fruitfly и пообещали скоро выпустить решение для борьбы с ней.
