Un botnet alimenté par Reddit infecte des milliers de macs

By  |  0 Comments

image

Le fournisseur d’antivirus russe Dr. Web a signalé la propagation d’un nouveau botnet qui cible exclusivement les ordinateurs Apple fonctionnant sous Mac OS X. Selon une enquête de trafic menée par des chercheurs de Dr. Web, plus de 17.000 macs partout dans le monde entier font partie de la Mac.BackDoor .iWorm botnet – et près d’un quart d’entre eux sont aux États-Unis. L’un des aspects les plus curieux de la botnet est qu’il utilise une recherche de messages Reddit à une liste de serveurs Minecraft subreddit pour récupérer des adresses IP pour son réseau de commandement et de contrôle (CnC). C’est subreddit qui semble maintenant avoir été radié de données CnC, et le compte qui a envoyé les données semble être arrêté.

Le rapport Dr. Web ne dit pas comment Mac.BackDoor.iWorm est distribué aux victimes du malware. Mais son programme « compte-gouttes » installe le malware dans le répertoire de la bibliothèque dans le dossier d’accueil de compte de l’utilisateur concerné, déguisé en un répertoire Application Support pour « Javaw. » Le compte-gouttes génère alors un fichier X .plist OS pour lancer automatiquement le bot lorsque le système est démarré.

Le bot malware lui-même ressemble à un fichier de configuration stocké dans le dossier Bibliothèque de l’utilisateur, se connecte à la page de recherche de Reddit. Il utilise un algorithme de hachage MD5 pour encoder la date du jour, et utilise les 8 premiers octets de cette valeur à rechercher « minecraftserverlist » la subreddit Reddit »- où la plupart des messages légitimes sont plus d’un an.

Les messages CnC semblent maintenant avoir été radié de Reddit, et une enquête sur les serveurs les plus récents identifiés dans le subreddit par Ars constaté que la plupart de leurs adresses IP, dispersés dans le monde sur les systèmes qui ont apparemment été compromis – y compris les ordinateurs en Slovaquie et en au collège mariste à Poughkeepsie, New York – sont désormais inaccessible. Le nœud collège mariste, en fonction de son adresse IP, était une machine virtuelle fonctionnant en cloud privé du collège …

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *