It-kriminelle har fundet en kreativ måde at benytte sig af det udbredte sociale nyhedssite Reddit.
Sitet er tilsyneladende blevet brugt som springbræt til at koordinere et botnet, der består af omkring 17.000 Mac-computere.
De ramte maskiner er blevet inficeret med malwaren Mac.BackDoor.iWorm, der åbner en bagdør i Mac-styresystemet OS X ifølge det russiske antivirus-firma Dr. Web.
Det er endnu uklart, hvordan malwaren spreder sig, men den kan få alvorlige konsekvenser, hvis botnettet udnyttes til at udføre eksempelvis DDoS-angreb mod andre hjemmesider eller afsløre private oplysninger på de inficerede maskiner.
Det er ikke første gang, at et Mac-eksklusivt botnet ser dagens lys. I dette tilfælde er der tale om et mindre botnet i sammenligning med de 600.000 inficerede Macs med Flashback-ormen, der florerede tilbage i april 2012.
Bruger Reddits søgefunktion som springbræt
Malwaren benytter sig af Reddits søgefunktion, til at finde en liste over IP-adresser på servere, som sender ‘ordrer’ ud til de inficerede computere eller bots.
Bagmændene bag botnettet offentliggør indlæg på Reddit med IP-adresser på de såkaldte command & control-servere under kategorien minecraftserverlists med brugernavnet vtnhiaovyd.
De inficerede computere laver en søgning på Reddit, der består af de første otte cifre af den nuværende dato i en krypteret form. Resultatet giver så en række IP-adresser, som de forskellige bots kan forbinde til automatisk og afvente yderligere ordrer.
En typisk metode for at styre botnets har ellers været at sætte en IRC-chatserver op, hvor bagmændene har kunnet sende kommandoer ud til de enkelte maskiner og dermed koordinere større angreb.
Reddit er ikke selv direkte med til at sprede malwaren eller styre botnettet og har derfor ikke noget medansvar i sagen ifølge den uafhængige sikkerhedsekspert og blogger Graham Cluley.
Der er ikke rapporteret om nogen danske tilfælde af Mac.BackDoor.iWorm, men omkring 500 svenske Macs er blevet ramt af malwaren, så det er under alle omstændigheder en god idé at undersøge, om man er ramt.
Sådan gør du:
Gå til ‘Finder’ og vælg ‘Go to Folder’ fra ‘Go’-menuen. Kopiér følgende adresse ind i vinduet og tryk ‘Go’:
/Library/Application Support/JavaW
Hvis den giver en fejlmelding om, at mappen ikke eksisterer, er du ikke ramt.
Omvendt vil du være ramt, hvis den åbner et vindue med mappen. Da der endnu er sparsomt med information om malwaren, lyder det bedste råd fra flere sikkerhedssider at formatere harddisken og installere styresystemet på ny – evt. fra en tidligere backup, før malwaren trængte ind.
Leave a Reply