Antike Malware ist seit Jahren unbemerkt auf Macs aktiv

Malwarebytes hat eine neue Schadsoftware aufgespürt, die laut dem IT-Sicherheitsforscher Thomas Reed anders als alles ist, was er bisher an Malware gesehen hat. Malwarebytes hat die Spyware OSX.Backdoor.Quimitchin genannt. Quimitchin nannten die Azteken Spione, die andere Stämme infiltrierten. Das soll eine Anspielung auf den „antiken“ Code sein, der in der Schadsoftware enthalten ist.

Laut Reed war die Malware mehrere Jahre unentdeckt aktiv. Auf die Spur wurde er von einem IT-Administrator gebracht, aufgrund von ungewöhnlichem Netzwerk-Traffic, der von einem Mac eines biomedizinischen Forschungszentrums ausging.

Die Malware ist sehr simpel aufgebaut und enthält laut Reed Codes und Befehle, die aufgrund ihres Alters in der heutigen IT-Welt als antik gelten. Einige Befehle stammen aus Pre-OS-X-Zeiten. Das erste Mac OS X erschien im Jahr 2000 als Public Beta. Zudem ist in der Malware ein Open-Source-Code zu finden, der das letzte Mal 1998 aktualisiert wurde.

Spyware

Die Malware enthält Code um Screenshots zu machen, Scripts von einem Kontrollserver herunterzuladen, nach anderen Geräten im Netzwerk zu suchen und sich mit ihnen zu verbinden, um Maus- und Tastatureingaben zu simulieren und um die Webcam zu aktivieren.

Der Code der Malware enthält auch spezifische Linux-Befehle. Reed glaubt deshalb, dass es eine Version der Schadsoftware geben könnte, die für Linux gedacht ist. Bisher wurde diese Version aber noch nicht entdeckt.

Wann die Malware zum ersten Mal verbreitet wurde, lässt sich nicht exakt feststellen. Andere Malware mit Teilen des Codes von Quimitchin wurde im Juni und Juli 2013 an Virustotal übermittelt. Kommentare im Code von Quimitchin lassen darauf schließen, das Änderungen gemacht wurden, um die Malware an Mac OS X 10.10 anzupassen, das im Oktober 2014 erschienen ist.

Spionage

Reed glaubt, dass die Malware möglicherweise nicht so alt ist wie ihr Code. Der Programmierer dahinter könnte entweder besonders gut oder besonders schlecht sein. Schlecht, weil er veraltete Dokumentation genutzt hat, um die Malware zu erstellen. Gut, weil er absichtlich alten Code verwendet hat, weil ein aktueller Schadsoftware-Code möglicherweise schneller auffallen würde.

Dennoch ist die Malware aufgrund ihres simplen Aufbaus relativ einfach zu entdecken. Reed fällt deshalb nur ein Grund ein, warum die mehrere Jahre alte Schadsoftware erst jetzt entdeckt wurde. Sie wurde möglicherweise nur sporadisch und gezielt eingesetzt, anstatt weit verbreitet. Da sie bisher nur auf Macs von biomedizinischen Forschungsinstituten entdeckt wurde, hält Reed es für plausibel, das damit gezielt Spionage betrieben wurde.

Apple hat mittlerweile ein automatisches Update für Mac OS veröffentlicht, dass die Infektion mit Quimitchin verhindern soll. Apple hat die Malware Fruitfly genannt.