| 18 янв 2017 — 7:32 утра по тихоокеанскому времени
Команда Malwarebytes недавно обнаружила то, что они называют «первой вредоносной программой для Mac в 2017 году». Вредоносная программа Fruitfly использовала устаревший код, чтобы долгое время работать незамеченной в системах macOS. Сообщается, что она использовалась в целевых атаках на учреждения биомедицинских исследований.
Вредоносная программа, которую программное обеспечение Malwarebytes определяет как ‘OSX.Backdoor.Quimitchin’, содержит код, относящийся ко времени до OS X. Некоторые части кода даже имеют признаки потенциального запуска на Linux, что позволяет команде предположить, что вредоносная программа могла иметь или имеет свою форму и в этой операционной системе. Вредоносная программа была обнаружена, когда IT-администратор заметил необычную исходящую сетевую активность с конкретного Mac.
Состоящая всего из двух файлов, вредоносная программа использует скрытый скрипт для связи с серверами, создания снимков экрана на Mac и Linux, а также получения времени работы системы. Скрипт также выполняет вторичный скрипт и Java-класс, способный скрывать свой значок в Dock macOS. Malwarebytes сообщает, что основная цель вредоносной программы, судя по всему, — получение снимков экрана и доступа к веб-камере.
Наиболее интересно то, что вредоносная программа использует для работы устаревшие системные вызовы. Некоторые из них включают: SGGetChannelDeviceList, SGSetChannelDevice, SGSetChannelDeviceInput и SGStartRecord. Вредоносная программа также использует код libjpeg, проект с открытым исходным кодом для чтения и записи изображений JPEG, последний раз обновленный в 1998 году.
Malwarebytes провела дальнейшее расследование вредоносной программы и обнаружила, что она даже претерпела изменения для «поддержки» Mac OS X Yosemite, что указывает на то, что вредоносной программе не менее нескольких лет. Старый код и обновление для поддержки Yosemite, конечно, не указывают точную дату создания вредоносной программы. Используя старые системные вызовы таким образом, разработчики вредоносной программы могли сознательно пойти на такой выбор кода, чтобы избежать обнаружения.
Malwarebytes указывает, что Apple называет эту вредоносную программу Fruitfly и что вскоре будет выпущено обновление для решения проблемы.