В коде новой малвари для macOS найдены куски, датированные 1998 годом

Специалисты Malwarebytes обнаружили вредоноса OSX.Backdoor.Quimitchin, которого специалисты Apple, в свою очередь, называли Fruitfly и уже адресовали данной проблеме апдейт. Специалисты сообщают, что вредонос также представляет опасность для Linux-систем (хотя Linux-варианта вредоноса исследователи не обнаружили) и подозревают, что где-то существует версия для Windows. Кроме того, Quimitchin, скорее всего, был создан много лет назад, так как в его коде были найдены очень старые куски.

За обнаружение Quimitchin стоит благодарить одного бдительного системного администратора: он заметил, что один из Mac в его сети генерирует очень странный трафик, и решил разобраться в проблеме. В итоге вредонос попал в руки специалистов Malwarebytes, которые пишут, что еще ни разу не встречали чего-то подобного.

На первый взгляд малварь проста и состоит всего из двух файлов: .plist, который поддерживает .client всегда запущенным, и самого .client, который содержит пейлоад. Последний файл явно более новый — это обфусцированный, написанный на Perl скрипт. Помимо прочего, он используется для связи с C&C-серверами злоумышленников, а также может делать скриншоты и перехватывать информацию с вебкамер, передвигать курсор мыши, имитировать клики и нажатия клавиш, а также собирать данные о машине, как на Mac, так и в Linux-системах, и скрывать свое присутствие от macOS Dock. Кроме того, малварь собирает данные обо всех устройствах, подключенных к зараженной машине и находящихся в той же сети, а затем пытается связаться с ними.

Но куда больший интерес экспертов вызывал тот факт, что в коде Quimitchin присутствуют настолько старые части, что они старше самой Apple OS X, появившейся в 2001 году. Так, вредонос оперирует такими древними системными вызовами, как:

• SGGetChannelDeviceList
• SGSetChannelDevice
• SGSetChannelDeviceInput
• SGInitialize
• SGSetDataRef
• SGNewChannel
• QTNewGWorld
• SGSetGWorld
• SGSetChannelBounds
• SGSetChannelUsage
• SGSetDataProc
• SGStartRecord
• SGGetChannelSampleDescription

Кроме того, исследователи обнаружили опенсорсную библиотеку libjpeg, которая в последний раз обновлялась в 1998 году.

Дальнейшее исследование показало, что последнее обновление вредоноса улучшает «поддержку» Mac OS X Yosemite, а значит, Quimitchin существует уже как минимум два года.

«Я могу придумать только одну причину, по которой эту малварь не обнаружили раньше: она использовалась только в узконаправленных атаках, что снижало шанс обнаружения.

В последние годы ходит множество слухов о китайских и российских хакерах, которые атакуют американских и европейских ученых, похищая данные. Хотя нет никаких улик, связывающих данную малварь с какой-либо конкретной группировкой, тот факт, что она была замечена в атаках против биотехнологических научных учреждений, вероятнее всего свидетельствует о том, что это был как раз такой случай шпионажа», — пишет специалист Malwarebytes Томас Рид (Thomas Reed).

Подробный технический анализ Quimitchin уже опубликован в блоге Malwarebytes.

20.01.2017
https://xakep.ru/2017/01/20/old-new-quimitchin/​

 

О, вот уже и китайские хакеры начали в новостях светиться. Сунь хунь всянь, товариси.