IWorm

Malware, die auf Mac-Computer abzielt, wird von Tag zu Tag häufiger. Eine der Bedrohungen, auf denen ausschließlich OSX ausgeführt wird, heißt iWorm. Cybersecurity-Forscher haben diese Bedrohung bereits 2014 entdeckt. Es wurde berichtet, dass die iWorm-Malware weltweit rund 18.000 Geräte gefährdet hat. Diese Bedrohung kann die Kontrolle über den infizierten Host übernehmen und ihn für verschiedene Zwecke verwenden. Es scheint, dass die Betreiber der iWorm-Malware damit ein Botnetz aufbauen. Experten sind sich nicht ganz sicher, wofür das Botnetz verwendet wird, aber es ist wahrscheinlich, dass es bei DDoS-Angriffen (Distributed-Denial-of-Service), Massen-Spam-E-Mail-Kampagnen, Cryptocurrency-Mining-Vorgängen usw. eingesetzt wird.

Fähigkeiten

Neben der Möglichkeit, die Kontrolle über das gefährdete System zu erlangen, ermöglicht die Malware iWorm ihren Betreibern auch, Daten über ihr Ziel zu sammeln. Darüber hinaus ermöglicht die iWorm-Bedrohung den Angreifern, Remotebefehle auszuführen und Daten zum Netzwerkverkehr des Opfers zu sammeln. Im Falle eines Problems mit dem primären C & C-Server (Command & Control), mit dem die iWorm-Malware eine Verbindung herstellt, kann die Bedrohung auf einen alternativen C & C-Server wechseln. Um die Persistenz auf dem gefährdeten Host zu gewährleisten, erstellt die iWorm-Bedrohung einen neuen LaunchDaemon, der die Ausführung der Bedrohung jedes Mal auslöst, wenn der Benutzer den Mac neu startet. Die iWorm-Backdoor verwendet möglicherweise den Dateinamen "application.com.JavaW", der für den Benutzer als legitim angesehen werden soll, damit keine roten Fahnen ausgelöst werden.

Hostet C & C-Server-Adressen auf Reddit

Die iWorm-Malware nutzt eine interessante Infrastruktur, um die Adressen der C & C-Server ihrer Betreiber abzurufen. Die meisten Malware-Autoren verwenden Websites von Drittanbietern wie PasteBin oder codieren die Adressen einfach fest in den Code der Bedrohung. Die Ersteller der iWorm-Hintertür hosten jedoch die Adressen der C & C-Server auf Reddit.com, einer Website, die häufig als Startseite des Internets bezeichnet wird. Die fraglichen Adressen werden von einem Benutzer mit dem Spitznamen "vtnhiaovyd" verschlüsselt und veröffentlicht. Die Urheber der Bedrohung tarnen die verschlüsselten C & C-Serveradressen als Minecraft-Server-IPs. Konten, die mit der Bedrohung durch die Malware iWorm in Verbindung gebracht wurden, wurden gesperrt. Dies bedeutet jedoch nicht, dass die Angreifer die Kampagne ergriffen haben.

Bisher wurden die kompromittierten Computer anscheinend nicht für Kryptominationsoperationen oder DDoS-Angriffe verwendet. Die Ersteller des Botnetzes haben die infizierten Computer anscheinend noch nicht für Vorgänge verwendet. Wenn Sie Ihren Computer vor Bedrohungen wie der iWorm-Hintertür schützen möchten, müssen Sie ein echtes Anti-Malware-Tool herunterladen und installieren. Vergessen Sie nicht, es regelmäßig zu aktualisieren.