安全公司 Malwarebytes 发现一个罕见的基于 Mac 的间谍软件,被用于生物医学研究机构进行间谍活动中心的计算机且隐藏多年未被发现。
Malwarebytes 将该恶意软件命名为“ OSX.Backdoor.Quimitchin ”,苹果公司则将其命名为“ Fruitfly ”。该恶意软件可以截取屏幕截图、访问并使用计算机的网络摄像头,能够远程控制鼠标移动、模拟鼠标点击。它还可以从 C&C 服务器下载其他脚本文件,其中一个脚本“ macsvc ”可使用 mDNS 在本地网络上构建所有设备的映射,提供设备的详细信息:IPv6 和 IPv4 地址、网络名称、使用的端口等,“ afpscan ”脚本还试图连接其他设备。
有趣的是,恶意软件使用了很多“古老”的代码来执行这些命令。比如,恶意软件使用了 libjpeg 开源代码,该代码最后一次更新是在 1998 年。
古老的系统调用函数:
SGGetChannelDeviceList
SGSetChannelDevice
SGSetChannelDeviceInput
SGInitialize
SGSetDataRef
SGNewChannel
QTNewGWorld
SGSetGWorld
SGSetChannelBounds
SGSetChannelUsage
SGSetDataProc
SGStartRecord
SGGetChannelSampleDescription
尽管恶意软件使用了很多老式且不复杂的技术,但是却实现了现代间谍软件的常用功能。该恶意软件的代码最新可追溯到 2015 年 1 月,但直达今年才被发现。
在过去几年中,有许多关于国外黑客入侵、窃取美国和欧洲科学研究的报道。虽然该恶意软件明确针对生物科技研究机构从事间谍活动,但就从 C&C 服务器 IP 地址:99.153.29.240 、动态 DNS 地址 eidk.hopto.org 以及代码上来看,还没有证据表明恶意软件与特定的黑客组织有关联。
稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。
转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。
请登录后发表评论
注册