Новая версия FruitFly используется для шпионажа за рядовыми пользователями Мас

В настоящее время метод распространения вредоносного ПО и цели, преследуемые злоумышленниками, неизвестны.

В январе нынешнего года специалисты компании Malwarebytes сообщили о вредоносном ПО для Мас, предназначенном для кибершпионажа. Бэкдор, получивший название FruitFly (также известен как Quimitchin), в основном использовался в атаках на медицинские исследовательские лаборатории.

Аналитик компании Synack Патрик Уордл (Patrick Wardle) обнаружил новую версию вредоноса, которая в отличие от другого подобного вредоносного ПО, включая вариант, проанализированный специалистами Malwarebytes, используется в атаках не на исследовательские лаборатории, известные компании и организации, а на рядовых пользователей компьютеров Мас.

«Судя по именам компьютеров, они принадлежат обычным пользователям. То есть кто-то использует это вредоносное ПО для наблюдения за людьми», – отметил Уордл.

По словам исследователя, оба варианта FruitFly способны делать скриншоты, функционировать в качестве кейлоггера, получать доступ к web-камерам и собирать информацию о зараженных Мас. В ходе анализа новой версии Уордл смог расшифровать несколько резервных доменов, вшитых в код FruitFly, причем некоторые из них остались доступными. В течение двух дней после регистрации одного из доменов, к серверу подключилось порядка 400 инфицированных Мас, в основном расположенных в США.

В настоящее время метод распространения вредоносного ПО и цели, преследуемые злоумышленниками, неизвестны. По словам Уордла, нет признаков использования FruitFly для установки вымогательского ПО или хищения финансовой информации. Эксперт также исключил вероятность того, что бэкдор был разработан спонсируемыми правительством хакерами для шпионажа за целевыми объектами.