Fruitfly——一个潜伏在macOS长达十年的恶意软​件

前言

研究人员在部分Mac电脑内发现了名为FruitFly的恶意软件，至少已经潜伏了五到十年，该恶意软件多年来在后台静音操作，通过内置摄像头对用户进行监控，捕捉屏幕图像，记录键盘输入的关键信息。

表面上，FruitFly的攻击功能似乎非常少，只是暗中监视受害者，捕捉屏幕图像，记录键盘输入等。但是，奇怪的是，他至少已经潜伏了五到十年，一直没有被发现。根据分析，它包含一些古老的功能和基本的远程遥控功能，目前FruitFly 总共发现了两个版本。

据网络安全公司Synack的首席安全研究员帕特里克•沃德尔（Patrick Wardle）调查发现，目前已有超过400台电脑感染病毒，并且由于他只找出了部分用于控制FruitFly的服务器，这一数字很可能将继续上升。目前，苹果尚未就这一报道做出回应。

潜伏的FruitFly是怎样被发现的？

FruitFly多年来一直在野外被利用，它可以躲避各种安全软件的检测和分析。沃德尔通过建立一个自定义命令和控制服务器，检测到了一个FruitFly样本，该样本能够执行shell命令，检索被捕捉的屏幕截图，操纵鼠标移动，结束进程，甚至当用户在Mac上把FruitFly激活时能够重复进行攻击。

译者注：沃德尔检测的FruitFly样本都为FruitFly的第2个版本。

沃德尔是在上星期三黑帽大会的一个演讲中深入分析了FruitFly以及他所使用的定制C＆C服务器。他还表示，他将在最近发布他的一些分析工具，包括一个用户模式的进程监视器。

沃德尔在建立自己的命令和控制服务器的过程中，采用了一种非正常的方法分析了他所捕获的FruitFly样本。他没有解压缩并逆向工程恶意软件，而只是在一个配置了一些工具的虚拟机上的测试环境中进行了分析。 经过分析FruitFly还包含一些与备份命令和控制服务器的加密连接，这些服务器在主要C＆Cs脱机时可用。

当沃德尔发现备份服务器可用时，他立马进行了注册。经过对连接到域的用户名和IP地址进行分析，他发现有超过400台电脑受到感染。对于FruitFly的行为，沃德尔在对恶意样本进行分类时就是通过他看到的简单命令和子命令的详细清单进行的，例如，第2号将进行屏幕捕获，而第8号将通过第1个子命令启动鼠标动作，比如启动左键单击。

沃德尔表示：“在我建立的测试环境中进行分析时，我可以修改主机文件给我虚拟机的IP地址，还可以通过命令行提供一个IP地址和端口恶意软件，使得恶意软件更容易被调用到他的命令和控制服务器。当恶意软件运行时，就会获得大量的系统数据。经过对恶意软件的语言进行分析，然后我创建了一个Python脚本，以恶意软件的方式进行响应。”

沃德尔提到了一些工具，其中一些是自己开发的，例如BlockBlock，用于检测持久性机制和监控网络摄像头的运行。

至于最初的感染传染媒介是什么，沃德尔补充说：“由于目前受害者人数较少，还未发现。”

FruitFly的感染机制及幕后组织

目前FruitFly 总共发现了两个版本，关于这两个版本研究人员到目前为止还未发现其具体的感染机制，是利用MacOS代码中的漏洞，还是通过社会工程或其他方式安装的都不得而知。由于FruitFly的线索非常少，所以还不清楚目前它背后的组织以及该组织研发它的意图。不过，据沃德尔猜测，这么简单的功能应该只是针对于普通用户的，而且90％的受害者来自美国或加拿大。

尽管面向普通人，但FruitFly似乎并没有兴趣来勒索受害者，或窃取他们的信用卡和密码。 沃德尔说，FruitFly的两个版本似乎主要用于监视用户。但是，FruitFly2具有不寻常的功能，例如能够移动鼠标光标并远程控制键盘，根据沃德尔的说法，当用户返回MAC重新操作时，都能被黑客发现。不过这么先进的功能却是用Perl编写的，这种语言对于恶意软件来说非常的古老了，而且还使用的是旧代码。