کشف بدافزاری به نام Fruitfly که کدهای قدیمی را روی macOS اجرا می کند

تیم کمپانی Malwarebyte اخیراً چیزی کشف کرده که آن را «نخستین بدافزار مک در سال 2017» می خواند. این بدافزار که Fruitfly نام دارد، برای مدتی نسبتاً طولانی از کدهای قدیمی برای اجرا روی سیستم های مبتنی بر macOS استفاده کرده و ظاهراً انستیتوهای تحقیقاتی زیست پزشکی را مورد حمله قرار داده است.

این بدافزار که نرم افزار Malwarebyte آن را با نام «OSX.Backdoor.Quimitchin» شناسایی می کند، از کدهایی بهره می گیرد که پیش از OS X نوشته شده اند. بعضی از کدها حتی احتمال اجرا روی لینوکس را نشان می دهند که سبب شده تا تیم Malwarebyte به نتیجه برسد که بدافزار مورد اشاره، روی این سیستم عامل نیز فعال بوده یا هست.

بدافزار Fruitfly زمانی کشف شد که یک ادمین IT به فعالیت های خروجی شبکه روی یک مک خاص مشکوک شد. این بدافزار که تنها از دو فایل بهره می برد، از اسکریپتی پنهان برای برقراری ارتباط با سرور، تهیه اسکرین شات روی مک و لینوکس و پی بردن به زمان کار دستگاه بهره می برد.

این اسکریپت همچنین از یک اسکریپت ثانویه برای عدم نمایش آیکن بدافزار در داک macOS استفاده می کند. Malwarebyte می گوید که ظاهراً اهداف اصلی پشت این بدافزار، تهیه اسکرین شات و دسترسی یافتن به وبکم بوده است.

اما نکته جالب درباره Fruitfly، استفاده از کدهای قدیمی است؛ به عنوان مثال کد libjpeg روی این بدافزار اجرا می شود که پروژه ای متن باز برای خواندن و نوشتن تصاویر JPEG به شمار می رود و آخرین بار در سال 1998 به روزرسانی شده است.

Malwarebyte همچنین با تحقیق های بیشتر دریافته که تغییراتی در این بدافزار به وجود آمده تا از Mac OS X Yosemite نیز پشتیبانی کند؛ در این صورت، Fruitfly حداقل از اواخر سال 2014 میلادی مشغول به کار بوده است. با این همه، کدهای قدیمی و به روزرسانی برای پشتیبانی از Yosemite لزوماً تاریخ دقیق ساخت بدافزار را مشخص نمی سازند.

در نهایت گفتنی است که اپل در جریان این بدافزار قرار گرفته و می توان در آینده نزدیک منتظر عرضه به روزرسانی تازه ای برای برطرف سازی آن بود.