IWorm

Macコンピューターを標的とするマルウェアは、日を追ってますます一般的になっています。 OSXのみを実行しているマシンを標的とする脅威の1つはiWormと呼ばれます。サイバーセキュリティの研究者は、2014年にこの脅威を発見しました。iWormマルウェアが世界中で約18,000台のデバイスを侵害したことが報告されています。この脅威は、感染したホストを制御し、さまざまな目的で使用することができます。 iWormマルウェアのオペレーターは、ボットネットを構築するためにそれを使用しているようです。専門家は、ボットネットが何に使用されるのか完全には定かではありませんが、DDoS(Distributed-Denial-of-Service)攻撃、大量スパムメールキャンペーン、暗号通貨マイニング操作などで使用される可能性があります。

能力

iWormマルウェアは、侵害されたシステムを制御できることに加えて、オペレーターがターゲットに関するデータを収集できるようにします。さらに、iWormの脅威により、攻撃者はリモートコマンドを実行し、被害者のネットワークトラフィックに関するデータを収集できます。 iWormマルウェアが接続するプライマリC&C(コマンド&コントロール)サーバーに問題がある場合、脅威は別のC&Cサーバーに切り替えることができます。侵害されたホストで永続性を確保するために、iWorm脅威は、ユーザーがMacを再起動するたびに脅威の実行をトリガーする新しいLaunchDaemonを必ず生成します。 iWormバックドアは、赤いフラグが立てられないように、ユーザーにとって正当と思われるファイル名「application.com.JavaW」を使用する場合があります。

RedditでC&Cサーバーアドレスをホスト

iWormマルウェアは、そのオペレーターのC&Cサーバーのアドレスを取得する際に興味深いインフラストラクチャを利用します。マルウェアのほとんどの作成者は、PasteBinなどのサードパーティのWebサイトを使用するか、単にアドレスを脅威のコードにハードコーディングする傾向があります。ただし、iWormバックドアの作成者は、インターネットのフロントページと呼ばれることの多いWebサイトであるReddit.comでC&Cサーバーのアドレスをホストしています。問題のアドレスはエンコードされ、「vtnhiaovyd」というニックネームを持つユーザーによって投稿されます。この脅威の作成者は、エンコードされたC&CサーバーのアドレスをMinecraftサーバーのIPとして偽装しています。 iWormマルウェアの脅威活動にリンクされているアカウントは禁止されていますが、これは攻撃者がキャンペーンを押収したことを意味するものではありません。

これまでのところ、侵害されたマシンは暗号化操作やDDoS攻撃に使用されていないようです。ボットネットの作成者は、感染したコンピューターを操作にまだ利用していないようです。 iWormバックドアなどの脅威からマシンを保護する場合は、正規のマルウェア対策ツールをダウンロードしてインストールし、定期的に更新することを忘れないでください。

トレンド

最も見られました

読み込んでいます...