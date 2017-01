De eerste Mac-malware van het jaar is ontdekt door Malwarebytes. De beveiligingsspecialist kwam de kwaadaardige code op het spoor nadat een IT-manager vreemd netwerkverkeer ontdekte die afkomstig was van een Mac. De malware blijkt als doel te hebben biomedische onderzoekcentra te bespioneren en lijkt al enige tijd actief te zijn. Omwille van zijn antieke code en spionagegedrag werd de malware Quimitchin gedoopt, naar Azteekse spionnen die andere stammen infiltreerden.

Spionage

Quimitchin bestaat uit slechts twee bestanden, waarvan één document ervoor zorgt dat .client te allen tijde blijft werken. Het .client-bestand is een Perl-script die communiceert met command & control-servers. In het script zitten shell-commando’s vervat om screenshots te nemen, na te kijken wat de uptime is en om een beperkte vorm van controle vanop afstand te verkrijgen.

Vreemd genoeg bevat de malware zowel commando’s voor Mac als voor Linux. In de code zitten bijvoorbeeld de commando ‘screencapture’ en ‘xwd’ vervat, welke screenshots maken in respectievelijk Mac en Linux.

“De aanwezigheid van Linux-shell-commando’s in het originele script zorgde ervoor dat we probeerden om de malware op een Linux-toestel te draaien. Aangezien alles – behalve één binary- perfect werkte, doet dit ons vermoeden dat er een variant van de malware bestaat die speciaal bedoeld is om op Linux te draaien,” schrijft Malwarebytes.

Antiek

De binary die niet werkte op Linux is de Mach-O-binary, welke wordt gebruikt om screenshots te nemen en toegang te verkrijgen tot een webcam. Ook maakt de binary gebruik van system calls die door Malwarebytes als antiek wordt bestempeld. “Dit zijn enkele oude functies, wat de technologiewereld betreft. Ze dateren van voor OS X. Bovendien bevat de binary de open source libjpeg-code, die voor het laatst in 1998 werd geüpdatet,” aldus Malwarebytes.

Quimitchin is in staat om andere kwaadaardige code van de command & control-servers te halen. Zo merkte Malwarebytes tijdens zijn onderzoek dat de spionagemalware een extra Perl-script had gedownload. Dit script maakt gebruik van mDNS om alle toestellen in het lokale netwerk in kaart te brengen. Het verzamelt informatie over deze toestellen, waaronder IPv6- en IPv4-adressen, namen op het netwerk en de poorten die worden gebruikt.

Oude malware

Ondanks het feit dat de malware nu pas voor het eerst werd ontdekt, lijkt het meer dan twee jaar oud te zijn. De creatiedatum van de bestanden is namelijk januari 2015, al kan dit later zijn aangepast. Bovendien wordt er in het script verwezen naar een aanpassing voor Mac OS X Yosemite, die in oktober 2014 werd gelanceerd. Het ziet er dan ook naar uit dat de malware van voor de lancering van het OS dateert.

Dat de malware zo lang onopgemerkt is gebleven, heeft volgens Malwarebytes weinig te maken met de code zelf. Deze is immers eenvoudig op te sporen en te verwijderen. “De enige reden die ik kan bedenken die ervoor heeft gezorgd dat de malware nu pas werd opgemerkt, is dat het enkel wordt gebruikt in gerichte aanvallen. Er zijn de voorbije jaren verschillende verhalen geweest over Chinese en Russische hackers die proberen Amerikaans en Europees wetenschappelijk onderzoek te stelen. Ondanks het feit dat de malware momenteel niet wordt gelinkt aan een specifieke groep, lijkt het feit dat het specifiek tegen biomedische onderzoeksinstellingen is gebruikt erop te wijzen dat het gaat om dit type van spionage,” schrijft Malwarebytes.