FBI odhalila způsob infekce malwaru Fruitfly Mac

V pouhých 14 letech Phillip Durachinsky vytvořil malware Fruitfly Mac, kterým napadal počítače Apple Mac, a dalších 14 let jej pak autor využíval bez toho, aniž by si kdokoli čehokoli všiml. Durachinsky se takto nabourával do počítačů už do roku 2003 a dařilo se mu to až do ledna 2017, kdy byl zatčen. Malware byl schopen získávat soubory, odchytávat zmáčknuté klávesy, nicméně hlavním cílem bylo sledovat oběti přes webkameru a odposlouchávat jejich hovory přes mikrofon. Primárním cílem útočníka tak nebyl finanční zisk, ale zábava. Na jeho počítači byly objeveny miliony obrázků obětí včetně dětí.

 

 

 

Na infekci se přišlo až počátkem roku 2017 na Case Western Reserve University. FBI zde vyšetřovala incident s malwarem, našla na počítačích Fruitfly Mac a poměrně rychle ji vše navedlo na stopu pravého útočníka. Dlouho ale nebylo jasné, jak se útočníkovi dařilo napadat počítače obětí. Odborníci předpokládali, že Durachinsky používal speciálně cílené phishingové e-mailové útoky, neboť počet obětí neodpovídal nějaké plošné útočné phishingové kampani. Zjistilo se však, že princip hledání obětí byl úplně jiný.

 

Durachinsky využíval techniky docela obyčejného skenování portů. V podstatě hledal k internetu připojené Macy a zjišťoval, zda náhodou nemají otevřený některý z portů dovolující vzdálené ovládání počítače. Zkoumal tak např. Apple Filing Protocol (AFP, port 548), RDP nebo jinou VNC službu, SSH (port 22) a funkci Back to My Mac (BTMM). Pokud byla tato služba povolena a nebyla chráněna heslem (případně se dala prolomit heslem z databází uniklých hesel), nainstaloval do počítače malware a pozoroval své oběti.

 

Zdroj: zdnet.com, macobserver.com