• 發布單位:TWCERT/CC
• 更新日期:2019-03-25
• 點閱次數:537

●重點摘要：

1.2017年被發現的針對Mac系統的後門程式Fruitfly，可被攻擊者取得系統控制權進而監控Mac的網路攝影機、鍵盤和其他敏感資源，目前已知感染了Mac至少五年，受害人數近400人以上，據了解，這個惡意程式可能已經活躍了超過10年。
2.根據Synack資安公司研究員Patrick Wardle表示，通常這些惡意程式都會在政府或國家使用的軟體中被發現，但Fruitfly卻針對一般的使用者，駭客將後門程式植入目標電腦後，便與自建的命令控制伺服器(C&C)連線，下達竊取用戶畫面或鍵盤輸入紀錄等命令，以取得敏感資訊(例如信用卡卡號)。
3.美國司法部（Department of Justice，DOJ）在2018年1月10日正式起訴Mac惡意程式Fruitfly的作者Phillip Durachinsky，Durachinsky雖然只有28歲，但他從2003年到2017年間利用Fruitfly感染了數千台Mac，這些Mac隸屬於個人、企業、學校、警察局及政府組織，之後Durachinsky便可存取這些Mac上的資料、上傳檔案、拍攝與下載螢幕截圖、側錄鍵盤，或是打開Mac上的攝影機與麥克風、竊取受害者的個人資料，諸如登入憑證、稅務紀錄、醫療紀錄、照片、金融紀錄。
4.資安業者Malwarebyte Labs直至2017年1月才發現Fruitfly的存在，當時Malwarebyte即判斷Fruitfly是很早以前就寫好，因為Fruitfly參考的是老舊的文件，使用老舊的程式碼與技巧，而且很容易就被偵測到，也能很快移除它。因此若能將Mac作業系統更新至El Capitan之後的版本，將可降低遭植入Fruitfly的風險。

●TWCERT/CC提醒蘋果OSX用戶參考以下VirusTotal連結，若有檔案名稱為fpsaud，應盡速刪除，並且保持Mac作業系統及防毒軟體有最新的安全更新。目前至少有29款防毒程式可以偵測到Fruitfly惡意程式(OSX.Backdoor.Quimitchin)。 根據9to5mac報導，蘋果已於2017年1月時，發布安全更新，建議用戶更新作業系統至El Capitan之後的版本，以避免遭植入Fruitfly惡意程式。

●Fruitfly的VirusTotal檢測結果： https://www.virustotal.com/zh-tw/file/befa9bfe488244c64db096522b4fad73fc01ea8c4cd0323f1cbdee81ba008271/analysis/

參考連結：

https://thehackernews.com/2018/01/macos-malware-hacker.html
http://securityaffairs.co/wordpress/61342/breaking-news/fruitfly-macos-backdoor.html
http://mashable.com/2017/07/24/mac-malware-fruitfly-beware/?utm_campaign=Feed:+Mashable+
https://9to5mac.com/2017/07/25/mac-malware-teenager-theory/
https://www.ithome.com.tw/news/120482
https://thehackernews.com/2017/01/mac-os-malware.html