Fruitfly
Die Cyberbedrohung von Fruitfly ist ein Programm, das im Februar 2017 von Computersicherheitsforschern identifiziert wurde. Fruitfly steht im Verdacht, von einigen Forschern zumindest ein Jahrzehnt lang unter dem Radar von AV-Unternehmen betrieben zu werden. Fruitfly wird als Spyware-Bedrohung eingestuft, die Mac OS-Benutzer plagte, bis der Malware-Autor von Strafverfolgungsbehörden gefasst wurde. Der Ersteller von Fruitfly nutzte Port-Scanning-Tools, um potenziell anfällige Geräte im Internet zu identifizieren, und führte zu Brute-Force-Angriffen auf eine kleine Anzahl von Computern. Der Bedrohungsschauspieler suchte nach offenen Ports und schlecht konfigurierten Remote-Desktop-Diensten, um Zugang zu erhalten.
Sobald eine Maschine beschädigt wurde, erstellte der Fruitfly-Betreiber eine Karte der angeschlossenen Geräte im selben lokalen Netzwerk, einschließlich IP-Adresse, Name im Netzwerk, offenen Ports und Gerätetyp. Die vorliegende Malware wurde von Forschern erkannt, die auf ungewöhnliche Datenübertragungen gestoßen waren und sie als Fruitfly Mac-Malware bezeichneten, während andere sie "Quimitchin" nannten. Die Fruitfly-Spyware konnte aufgrund einer sehr geringen Anzahl von Computern die Erkennung umgehen, und das Programm verwendet alte Funktionsaufrufe, um den Betrieb zu erleichtern. Fruitfly erhielt jedoch einige kleinere Updates mit der Entwicklung des Mac OS.
Der Autor der Malware behauptete, er habe sich darauf konzentriert, gefährdete Benutzer über ihre Webcams zu überwachen und ihre Fotos zu extrahieren. Forscher warnen, dass die Spyware von Fruitfly nicht nur auf das einfache Video-Streaming und die Foto-Filterung beschränkt ist. Die Fruitfly-Spyware kann mit dem richtigen Befehl alle Datentypen auf einen Remote-Host hochladen. Fruitfly kann die Tastatureingaben des Benutzers aufzeichnen und in einer Textdatei speichern. Darüber hinaus kann die Fruitfly-Spyware Audioaufzeichnungen der Umgebung speichern, in der sich die infizierten Hosts befinden. Das vorliegende Programm ist in der Programmiersprache Perl geschrieben und verwendet einfache Persistenztechniken. Die Fruitfly-Spyware wird einem Launcher im Mac OS gemeldet und lädt ihre Komponenten aus einem versteckten Ordner auf der primären Systempartition. Anti-Malware-Dienste erkennen das Fruitfly-Programm als OSX.Backdoor.Quimitchin und löschen die zugehörigen Dateien.
