Onderzoekers van Symantec hebben het eerste Mac OS X botnet ontdekt dat gebruikt wordt voor het platleggen van websites. De malware zit in illegale software verstopt, zoals iWork 09 en Photoshop CS4, die via BitTorrent verspreid worden. OSX.Iservice en OSX.Iservice.B gebruiken verschillende technieken om het wachtwoord van de gebruiker te stelen en volledige controle over de machine te krijgen.
Volgens Mario Ballano Barcena en Alfredo Pesoli is dit de eerste echte poging om een Mac botnet op te zetten. De onderzoekers verwijzen naar deze melding, waaruit blijkt dat besmette machines voor het uitvoeren van DDoS-aanvallen worden gebruikt. Duizenden mensen hebben de besmette software gedownload, waarop Mac-gebruikers het advies kregen om illegale software te vermijden. "OSX.Iservice is een interessant stukje malware, het maakt niet alleen gebruik van de werking van Mac OS, maar het is voor zover wij weten het eerste Mac botnet."
Verder onderzoek wijst uit dat het botnet over allerlei eigenschappen beschikt, zoals een peer-to-peer engine en encryptie. Barcena en Pesoli zijn van mening dat de persoon die malware ontwikkelde, niet dezelfde persoon is die het op dit moment gebruikt. Daarnaast verwachten de onderzoekers meer varianten. "De code laat zien dat waar mogelijk, de auteur tijdens de creatie voor een zeer flexibele aanpak koos, en daarom zou het ons niet verbazen als we in de nabije toekomst een nieuwe variant zullen zien."
Kapitaliseren
Terwijl voor veel Windows-gebruikers een virusscanner onmisbaar is, zijn Mac-gebruikers nog lang niet overtuigd van het nut van de software. Tenslotte is Mac-malware eerder uitzondering dan regel. Toch doen anti-virusbedrijven hun best om Mac-gebruikers een virusscanner te verkopen. Na publicatie van het onderzoek in Virus Bulletin, verstuurde PC Tools een e-mail naar haar klanten waarin ontvangers werd opgeroepen om Mac-gebruikers voor de nieuwe dreiging te waarschuwen en werd er meteen naar de eigen Mac virusscanner gelinkt.
Volgens virusbestrijder McAfee is de bot van geen enkele functionaliteit voorzien die niet eerder is aangetroffen. "Sommigen zouden dit gewoon een remote access trojan noemen, maar laten we geen spijkers op laag water zoeken", zegt David Marcus. Hij merkt op dat het enige unieke aan de malware is dat het zich op Mac-gebruikers richt, wat zeker een "nieuw gebied" is. Barcena en Pesoli eindigen met een waarschuwing, en dat is dat virusschrijvers steeds meer interesse in de Mac tonen. "We geloven dat we in de toekomst meer geavanceerde spoofing trucs zullen zien."
Deze posting is gelocked. Reageren is niet meer mogelijk.