جاسوس‌افزار سیستم‌های مک با امضای معتبر

محققان امنیتی چندین نمونه از جاسوس‌افزار جدید KitM را برای سیستم‌های Mac Os X کشف و شناسایی کرده‌اند که یکی از آنها به دسامبر ۲۰۱۲ بازمی‌گردد و کاربران آلمانی زبان را هدف قرار داده است.

KitM که با نام HackBack نیز شناخته می‌شود، یک برنامه راه نفوذ مخفی (backdoor) است که از صفحه نمایش تصویربرداری کرده و این تصاویر را برای یک سرور دستور و کنترل راه دور ارسال می‌کند. این جاسوس‌افزار همچنین مسیری برای اجرای دستورات مهاجمان بر روی سیستم آلوده باز می‌کند.
این بدافزار نخستین بار حدود ده روز پیش توسط یک محقق امنیتی بر روی لپ‌تاپ مک یکی از اکتیویست‌های Angolan در یک کنفرانس حقوق بشر در نروژ کشف شد.
جالب‌ترین جنبه KitM این است که توسط یک Apple Developer ID معتبر امضا شده است، این شناسه در حقیقت یک گواهی‌نامه امضای کد است که توسط اپل به شخصی به نام «راجیندر کومار» اعطا شده است. برنامه‌های امضا شده توسط یک Apple Developer ID معتبر می‌توانند ویژگی امنیتی Gatekeeper در Mac OS X Mountain Lion را دور بزنند. این ویژگی امنیتی منبع فایل‌ها را بررسی می‌کند تا اطمینان حاصل کند که خطری برای سیستم ندارند.
دو نمونه نخست KitM که هفته گذشته کشف شدند به سرورهای دستور و کنترل واقع در هلند و رومانی متصل بودند. محققان شرکت امنیتی «نورمن شارک»، نام‌های دامنه این سرورها را به زیرساخت حمله یک کمپین جاسوسی سایبری هندی به نام Operation Hangover مرتبط کردند.
روز چهارشنبه محققان F-Secure ویرایش‌های دیگری از KitM را کشف کردند. این نمونه‌ها در حملات هدفمند بین ماه‌های دسامبر و فوریه مورد استفاده قرار گرفته بودند و از طریق ایمیل‌های حاوی فایل‌های zip منتشر شده بودند.
برخی از پیوست‌های خرابکار این ایمیل‌ها عبارت بودند از Christmas_Card.app.zip، Content_for_Article.app.zip، Interview_Venue_and_Questions.zip، Content_of_article_for_[NAME REMOVED].app.zip و Lebenslauf_fur_Praktitkum.zip.
نصب کننده‌های KitM که در فایل‌های zip قرار داشتند فایل‌های اجرایی هستند، اما آیکون‌هایی مرتبط با فایل‌ای تصویری، ویدئویی اسناد Adobe PDF و اسناد Microsoft Word دارند. این ترفند معمولاً در بدافزارهای ویندوزی که از طریق ایمیل منتشر می‌شوند مشاهده می‌گردد.
ویرایش‌های جدیداً کشف شده KitM نیز توسط همان گواهی راجیندر کومار امضا شده‌اند. اپل این شناسه را هفته گذشته پس از کشف اولین نمونه‌ها باطل کرد، ولی این کار به قربانیان فعلی کمکی نمی‌کند. چراکه اگر بدافزاری یک‌بار از Gatekeeper عبور کند، پس از آن هرگز توسط Gatekeeper چک نخواهد شد و به کار خود ادامه خواهد داد.
البته اپل می‌تواند با استفاده از ویژگی محافظت در برابر بدافزار خود به نام XProtect، فایل‌های باینری شناخته شده KitM را در لیست سیاه قرار دهد، ولی ویرایش‌های شناخته نشده این بدافزار همچنان به کار خود ادامه می‌دهند.
به گفته محققان F-Secure، کاربران مک برای جلوگیری از اجرای این جاسوس‌افزار باید تنظیمات امنیتی Gatekeeper را طوری تغییر دهند که فقط برنامه‌های دانلود شده از Mac App Store مجوز نصب داشته باشند. البته این نوع تنظیمات ممکن است برای برخی کاربران که به نرم‌افزارهای دیگری نیاز دارند دردسرساز باشد.
منبع: مرکز ماهر

About The Author

Related posts

Leave a Reply

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*