کد QR مطلبدریافت لینک صفحه با کد QR

جاسوس‌افزار سیستم‌های مك با امضای معتبر

4 خرداد 1392 ساعت 14:31

ایتنا- به گفته محققان این بدافزار از دسامبر 2012 فعال بوده است.




محققان امنیتی چندین نمونه از جاسوس‌افزار جدید KitM را برای سیستم‌های Mac Os X كشف و شناسایی كرده‌اند كه یكی از آنها به دسامبر ۲۰۱۲ بازمی‌گردد و كاربران آلمانی زبان را هدف قرار داده است. 


KitM كه با نام HackBack نیز شناخته می‌شود، یك برنامه راه نفوذ مخفی (backdoor) است كه از صفحه نمایش تصویربرداری كرده و این تصاویر را برای یك سرور دستور و كنترل راه دور ارسال می‌كند. 

به گزارش ایتنا از مرکز ماهر، این جاسوس‌افزار همچنین مسیری برای اجرای دستورات مهاجمان بر روی سیستم آلوده باز می‌كند. 

این بدافزار نخستین بار حدود ده روز پیش توسط یك محقق امنیتی بر روی لپ‌تاپ مك یكی از اكتیویست‌های Angolan در یك كنفرانس حقوق بشر در نروژ كشف شد. 

جالب‌ترین جنبه KitM این است كه توسط یك Apple Developer ID معتبر امضا شده است، این شناسه در حقیقت یك گواهی‌نامه امضای كد است كه توسط اپل به شخصی به نام «راجیندر كومار» اعطا شده است. 

برنامه‌های امضا شده توسط یك Apple Developer ID معتبر می‌توانند ویژگی امنیتی Gatekeeper در Mac OS X Mountain Lion را دور بزنند. این ویژگی امنیتی منبع فایل‌ها را بررسی می‌كند تا اطمینان حاصل كند كه خطری برای سیستم ندارند. 

دو نمونه نخست KitM كه هفته گذشته كشف شدند به سرورهای دستور و كنترل واقع در هلند و رومانی متصل بودند. محققان شركت امنیتی «نورمن شارك»، نام‌های دامنه این سرورها را به زیرساخت حمله یك كمپین جاسوسی سایبری هندی به نام Operation Hangover مرتبط كردند. 

روز چهارشنبه محققان F-Secure ویرایش‌های دیگری از KitM را كشف كردند. این نمونه‌ها در حملات هدفمند بین ماه‌های دسامبر و فوریه مورد استفاده قرار گرفته بودند و از طریق ایمیل‌های حاوی فایل‌های zip منتشر شده بودند. 

برخی از پیوست‌های خرابكار این ایمیل‌ها عبارت بودند از Christmas_Card.app.zip، Content_for_Article.app.zip، Interview_Venue_and_Questions.zip، Content_of_article_for_[NAME REMOVED].app.zip و Lebenslauf_fur_Praktitkum.zip. 

نصب كننده‌های KitM كه در فایل‌های zip قرار داشتند فایل‌های اجرایی هستند، اما آیكون‌هایی مرتبط با فایل‌ای تصویری، ویدئویی اسناد Adobe PDF و اسناد Microsoft Word دارند. این ترفند معمولاً در بدافزارهای ویندوزی كه از طریق ایمیل منتشر می‌شوند مشاهده می‌گردد. 

ویرایش‌های جدیداً كشف شده KitM نیز توسط همان گواهی راجیندر كومار امضا شده‌اند. اپل این شناسه را هفته گذشته پس از كشف اولین نمونه‌ها باطل كرد، ولی این كار به قربانیان فعلی كمكی نمی‌كند. چراكه اگر بدافزاری یك‌بار از Gatekeeper عبور كند، پس از آن هرگز توسط Gatekeeper چك نخواهد شد و به كار خود ادامه خواهد داد.
البته اپل می‌تواند با استفاده از ویژگی محافظت در برابر بدافزار خود به نام XProtect، فایل‌های باینری شناخته شده KitM را در لیست سیاه قرار دهد، ولی ویرایش‌های شناخته نشده این بدافزار همچنان به كار خود ادامه می‌دهند. 

به گفته محققان F-Secure، كاربران مك برای جلوگیری از اجرای این جاسوس‌افزار باید تنظیمات امنیتی Gatekeeper را طوری تغییر دهند كه فقط برنامه‌های دانلود شده از Mac App Store مجوز نصب داشته باشند. 

البته این نوع تنظیمات ممكن است برای برخی كاربران كه به نرم‌افزارهای دیگری نیاز دارند دردسرساز باشد.


کد مطلب: 26307

آدرس مطلب: https://www.itna.ir/news/26307/جاسوس-افزار-سیستم-های-مك-امضای-معتبر

ايتنا
  https://www.itna.ir