Hackere misbruger nyhedssitet Reddit til at styre Mac-botnet

Et botnet bestående af 17.000 Mac-computere bliver styret via indlæg på den sociale nyhedsside Reddit ifølge russisk antivirus-firma.

It-kriminelle har fundet en kreativ måde at benytte sig af det udbredte sociale nyhedssite Reddit.

Sitet er tilsyneladende blevet brugt som springbræt til at koordinere et botnet, der består af omkring 17.000 Mac-computere.

De ramte maskiner er blevet inficeret med malwaren Mac.BackDoor.iWorm, der åbner en bagdør i Mac-styresystemet OS X ifølge det russiske antivirus-firma Dr. Web.

Det er endnu uklart, hvordan malwaren spreder sig, men den kan få alvorlige konsekvenser, hvis botnettet udnyttes til at udføre eksempelvis DDoS-angreb mod andre hjemmesider eller afsløre private oplysninger på de inficerede maskiner.

Det er ikke første gang, at et Mac-eksklusivt botnet ser dagens lys. I dette tilfælde er der tale om et mindre botnet i sammenligning med de 600.000 inficerede Macs med Flashback-ormen, der florerede tilbage i april 2012.

Læs også: Hver femte Mac smittet med (Windows)malware

Bruger Reddits søgefunktion som springbræt

Malwaren benytter sig af Reddits søgefunktion, til at finde en liste over IP-adresser på servere, som sender ‘ordrer’ ud til de inficerede computere eller bots.

Bagmændene bag botnettet offentliggør indlæg på Reddit med IP-adresser på de såkaldte command & control-servere under kategorien minecraftserverlists med brugernavnet vtnhiaovyd.

De inficerede computere laver en søgning på Reddit, der består af de første otte cifre af den nuværende dato i en krypteret form. Resultatet giver så en række IP-adresser, som de forskellige bots kan forbinde til automatisk og afvente yderligere ordrer.

En typisk metode for at styre botnets har ellers været at sætte en IRC-chatserver op, hvor bagmændene har kunnet sende kommandoer ud til de enkelte maskiner og dermed koordinere større angreb.

Reddit er ikke selv direkte med til at sprede malwaren eller styre botnettet og har derfor ikke noget medansvar i sagen ifølge den uafhængige sikkerhedsekspert og blogger Graham Cluley.

Der er ikke rapporteret om nogen danske tilfælde af Mac.BackDoor.iWorm, men omkring 500 svenske Macs er blevet ramt af malwaren, så det er under alle omstændigheder en god idé at undersøge, om man er ramt.

Sådan gør du:

Gå til ‘Finder’ og vælg ‘Go to Folder’ fra ‘Go’-menuen. Kopiér følgende adresse ind i vinduet og tryk ‘Go’:

/Library/Application Support/JavaW

Hvis den giver en fejlmelding om, at mappen ikke eksisterer, er du ikke ramt.

Omvendt vil du være ramt, hvis den åbner et vindue med mappen. Da der endnu er sparsomt med information om malwaren, lyder det bedste råd fra flere sikkerhedssider at formatere harddisken og installere styresystemet på ny - evt. fra en tidligere backup, før malwaren trængte ind.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Brian Hansen

Hvis de åbent indrømmer at de ikke aner hvordan den virker, så er det bestemt også det jeg ville gøre.
Generelt så lapper jeg ikke kompromiterede systemer. Du kan sagtens have fanget dig en variant der ikke dukker op i de gængse værktøjer.

  • 5
  • 0
Poul Pedersen

Kab godt lide at en formatering er deres eneste løsning..


Har Windows andre måder at slippe af med orme på? (bortset fra at Windows er så hullet at det knapt kan svare sig at reinstallere)
Alle fikses fjerner bare de synlige symptomer og er ligeglade med at din installation stadig er smækfyldt med bagdøre. Selvom det er svært at definere hvornår en Windows-installation er usikker og fyldt med huller.

  • 1
  • 8
Sune Marcher

Det er da godt nok en amatøragtig måde at finde sine C&C servere på - det er da en alt for åbenlyst og let blokérbar måde at poste på.

1) signér dine control/discovery messages med private-key crypto (så white-hats ikke let kan overtage kontrollen).
2) brug steganografi til at gemme i lolcat billeder.
3) ?
4) profit!

  • 1
  • 0
Log ind eller Opret konto for at kommentere