Quimitchin اولین بدافزار کشف شده برای سامانههای مک در سال 2017 است، این بد افزار به ظاهر خیلی ساده میباشد زیرا که از دو فایل .plistو .clientتشکیل شده است. فایل plist عامل راه انداز بدافزار میباشد و فایل .clientرا همیشه در حال اجرا نگه میدارد. این بدافزار شامل فایلهای دیگری است که به زبان پرل نوشته شدهاند و از طریق همین اسکریپتها با سرور کنترل خود ارتباط برقرار میکند. این اسکریپت همچنین شامل برخی از کدها برای گرفتن عکس از صفحه نمایش از طریق دستورات shellو بدست آوردن مدت زمان روشن ماندن سیستم میباشد.
جالب ترین بخش از این اسکریپت، قسمت DATAاست که در این قسمت سه فایل Mach-o( فایل باینری مک)، یک اسکریپت پرل و یک کلاس جاوا با یکدیگر ترکیب میشوند. کلاس جاوا استفاده شده، به نظر میرسد قادر به دریافت دستورات برای انجام کارهای مختلف که شامل یکی دیگر از شیوههای عکس گرفتن از صفحه نمایش، گرفتن اندازه صفحه نمایش و اشارهگر موقعیت ماوس، تغییر موقعیت ماوس، شبیهسازی کلیکهای ماوس و شبیه سازی پرسهای کلیدی است.
همچنین مشاهده شده است بدافزار حین اجرا در حال دانلود یک اسکریپت دیگر به نام "macsvc" از سرور کنترل کننده خود است. این اسکریپت از mDNSبه منظور تهیه نقشهای از تمام دستگاههای دیگر بر روی شبکه محلی و دادن اطلاعات در مورد تجهیزات موجود در شبکه از جمله IPv6 ،IPv4 و نام آن بر روی شبکه و پورتی که در حال استفاده از آن است، میباشد. همچنین علاوه بر فایل "macsvc"، یک فایل دیگر با نام "afpscan" دانلود میشود که تلاش میکند تا به دستگاههای موجود در شبکه متصل گردد.
- 2