WireLurker bedroht nicht nur iOS und Mac, sondern auch Windows-PCs

Table Of Contents

• WireLurker für Windows
• Windows-Version als die früheste Variante von WireLurker betrachtet
• Wie sich WireLurker verbreitet

WireLurker für Windows

Forscher von AlienVault haben eine ältere Version von WireLurker gefunden, die Windows-Geräte zur Verbreitung nutzt. Jaime Blasco von AlienVault Labs, der diese Variante von WireLurker entdeckte, informierte Palo Alto Networks Inc., die dann einen neuen Bericht über die Windows-Variante dieser Malware veröffentlichten.

Das frühere Forschungspapier besagte, dass WireLurker OS X-Anwendungen verwendete, um iOS-Geräte zu infizieren, und es gab keine Details zur Windows-Version der Malware.

Windows-Version als die früheste Variante von WireLurker betrachtet

Die Windows-Variante von WireLurker wurde über Baidu YunPan (einen öffentlichen Cloud-Speicherdienst von Baidu) von dem Benutzer „ekangwen206“ verteilt, sagte Palo Alto Network in ihrem Bericht.

Insgesamt wurden 247 Dateien von diesem Benutzer hochgeladen, die aus 180 Windows-Executable-Dateien und 67 OS X-Anwendungen bestanden und am 12. und 13. März, fast einen Monat vor den Mayaidi App Store-Infektionen, hochgeladen wurden. Die meisten dieser Dateien wurden über die raubkopierte Version beliebter Apps wie Facebook, Whatsapp, Instagram, Twitter, iBooks, iMovies, Calculator, Keynote, Flappy Bird und andere verbreitet, die WireLurker im Inneren enthielten. Diese Dateien wurden insgesamt 65.213 Mal heruntergeladen, von denen etwa 97,7 % der Downloads für Windows-Proben waren.

Wie sich WireLurker verbreitet

Nachdem das Opfer die Datei auf seinem Windows-Gerät heruntergeladen und ausgeführt hat, wird es aufgefordert, iTunes von einer offiziellen Website von Apple China herunterzuladen. Wenn es bereits installiert ist, zeigt die iTunes-Oberfläche eine Nachricht „Warten auf die Verbindung des iOS-Geräts“ an, wenn das Opfer sein Gerät anschließt und die raubkopierte Version der iOS-App installiert. Die Malware wird ebenfalls installiert, jedoch nur auf gejailbreakten iOS-Geräten.

Letzteres ist sehr ähnlich zu seinem Mac OS X-Nachkommen, wo es die gestohlenen Daten an denselben Command-and-Control-Server sendet und den Maiyadi App Store verwendet, um nach Updates zu suchen.

Palo Alto Networks hat bereits Updates für Antivirus, ISPs und andere Sicherheitsanbieter veröffentlicht, um deren Produkte für die WireLurker-Erkennung zu aktualisieren.

WireLurker kann auch mit dem Open-Source-Code erkannt werden, der auf Github veröffentlicht wurde https://github.com/PaloAltoNetworks-BD/WireLurkerDetector