IWorm

Les logiciels malveillants qui ciblent les ordinateurs Mac sont de plus en plus courants. Une des menaces qui ciblent exclusivement les ordinateurs fonctionnant sous OSX s'appelle iWorm. Les chercheurs en cybersécurité ont découvert cette menace en 2014, selon les rumeurs. Le programme malveillant iWorm a réussi à compromettre environ 18 000 appareils dans le monde. Cette menace est capable de prendre le contrôle de l'hôte infecté et de l'utiliser à diverses fins. Il semble que les opérateurs du logiciel malveillant iWorm l'utilisent pour créer un botnet. Les experts ne savent pas exactement à quoi servira le botnet, mais il est probable qu'il puisse être utilisé dans les attaques par déni de service (DDoS), les campagnes de courrier indésirable de masse, les opérations d'extraction de crypto-monnaie, etc.

Les capacités

En plus de pouvoir contrôler le système compromis, le logiciel malveillant iWorm permet également à ses opérateurs de collecter des données sur leur cible. En outre, la menace iWorm permet aux attaquants d’exécuter des commandes à distance et de collecter des données sur le trafic réseau de la victime. En cas de problème avec le serveur C & C principal (Command & Control) auquel le logiciel malveillant iWorm se connecte, la menace peut basculer sur un autre serveur C & C. Pour obtenir de la persistance sur l'hôte compromis, la menace iWorm s'assurera de générer un nouveau LaunchDaemon qui déclenchera l'exécution de la menace à chaque fois que l'utilisateur redémarre le Mac. La porte dérobée iWorm peut utiliser le nom de fichier 'application.com.JavaW' censé être considéré comme légitime par l'utilisateur, de sorte qu'aucun drapeau rouge ne soit déclenché.

Héberge des adresses de serveurs C & C sur Reddit

Le logiciel malveillant iWorm utilise une infrastructure intéressante lors de la saisie des adresses des serveurs C & C de ses opérateurs. La plupart des auteurs de programmes malveillants ont tendance à utiliser des sites Web tiers tels que PasteBin ou simplement à coder les adresses en dur dans le code de la menace. Cependant, les créateurs de la porte dérobée iWorm hébergent les adresses des serveurs C & C sur Reddit.com, un site Web souvent désigné comme la page d'accueil d'Internet. Les adresses en question sont codées et postées par un utilisateur portant le surnom "vtnhiaovyd". Les auteurs de la menace déguisent les adresses de serveurs C & C codées en adresses IP de serveurs Minecraft. Les comptes liés à l'activité menaçante du logiciel malveillant iWorm ont été interdits, mais cela ne signifie en aucun cas que les attaquants ont saisi la campagne.

Jusqu'à présent, il semblerait que les machines compromises n'aient pas été utilisées dans des opérations de cryptographie ou des attaques DDoS. Les créateurs du botnet ne semblent pas avoir encore utilisé les ordinateurs infectés pour des opérations. Si vous souhaitez protéger votre ordinateur contre les menaces telles que la porte dérobée iWorm, veillez à télécharger et à installer un véritable outil anti-malware, sans oublier de le mettre à jour régulièrement.