Загадочный вирус заразил сотни компьютеров Mac

Исследователи нашли вирус для компьютеров Mac, который оставался незамеченным несколько лет. У вируса богатые возможности, но при этом неясно, насколько активно он ими пользуется. Как неизвестны его создатели и каким путем он заражает компьютеры. О вирусе подробно рассказало издание Motherboard; «Медуза» пересказала самое важное из этого материала.

В январе 2017 года антивирусная компания Malwarebytes обнаружила вирус для компьютеров Mac, что большая редкость — продукция Apple считается гораздо более защищенной, чем Windows или Android. Вирус нашли на четырех компьютерах в биомедицинских исследовательских центрах. Исследователи отмечали, что в коде вируса (его назвали FruitFly — «плодовая мушка») содержатся отсылки к старым версиям операционной системы OS X и библиотекам, не обновлявшимся с конца 90-х. Можно предположить, что вредоносная программа существовала как минимум с 2014 года — и ее никто не замечал.

В отчете Malwarebytes говорилось, что одноименный антивирус теперь умеет находить вирус, а Apple выпустила обновление для защиты от его дальнейшего распространения. Но через несколько месяцев бывший хакер Агентства национальной безопасности США Патрик Уордл наткнулся на еще один экземпляр такого вируса. FruitFly 2, по его словам, не определялся ни одним антивирусом, мог быть создан еще раньше — порядка пяти или даже десяти лет назад — и успел заразить как минимум несколько сотен компьютеров, в том числе принадлежащих частным лицам.

Wrote C&C server to analyze?-virus for @BlackHatEvents/@defcon talk. Took over a C&C addr & 100s ?? (90% in ?): ‘hi, task us’?now involved? pic.twitter.com/DxS1y8KYZB

— patrick wardle (@patrickwardle) 21 июля 2017 г.

Судя по всему, главное предназначение вируса — шпионить за действиями пользователей. Он может «подглядывать» через веб-камеру, делать скриншоты экрана, регистрировать нажатия на кнопки клавиатуры. Программа также умеет перехватывать управление курсором мыши и клавиатурой и предупреждать хакеров, когда владелец компьютера возвращается к работе.

В вирусе была заложена возможность отправлять данные своим создателям. При этом в коде было прописано несколько альтернативных доменных имен на случай, если адрес основного сервера окажется недоступен. Уордл обнаружил, что запасные домены были свободны, зарегистрировал их и запустил вирус на виртуальной машине.

После этого произошло то, чего исследователь не ожидал: к зарегистрированным им доменам подключились около 400 компьютеров, зараженных вирусом. Уордл мог собрать информацию с этих компьютеров или перехватить их управление, но вместо этого он обратился в ФБР. Ведомство ведет расследование, но никаких деталей не раскрывает. Apple также не комментирует информацию о вирусе.

Исследователи не смогли найти следов создателей FruitFly и не понимают, кому он мог быть выгоден. Он недостаточно сложный, чтобы заподозрить подконтрольных властям хакеров; он не пытается красть пароли и данные кредитных карт пользователей, чтобы быть интересным для преступников. Как вирус оказывается на компьютерах жертв, тоже неизвестно.

Читайте также

Новый вирус-вымогатель в Google Play угрожает разослать ваши фото

Найден способ восстановления поврежденных вирусом Petya дисков

FC-Barca