ايتنا - كشف نوع جدیدی از بدافزار Tibet برای OS X

نوع جدیدی از بدافزار Tibet برای OS X كشف شده است. این بدافزار از یك آسیب پذیری كه اخیرا در جاوا اصلاح شده است استفاده می كند تا یك سرویس راه نفوذ مخفی را در سیستم های هدف نصب نماید و به هكر اجازه دهد تا از راه دور وارد سیستم شده و فایل ها را به سرقت ببرد.

به گزارش ایتنا از مرکز ماهر، این بدافزار در یك فایل ZIP یا در قالب برنامه های كاربردی به عنوان تصاویر یا انواع دیگر فایل ها بسته بندی می شود. هنگامی كه این فایل ها اجرا می شود یك راه نفوذ مخفی را نصب می كند كه به كاربر راه دور اجازه می دهد تا وارد سیستم شده و اطلاعات شخصی را به سرقت ببرد.

در حال حاضر بدافزار Tibet سه نوع شناخته شده دارد كه آخرین نوع آن یك سال پیش كشف شده است.
در نسخه های قدیمی، این بدافزار در قالب نصب كننده های فایل منتشر شده یا از آسیب پذیری های موجود در برنامه های كاربردی آفیس سوء استفاده كرده است.

اما نسخه جدید این بدافزار از یك آسیب پذیری كه اخیرا در جاوا اصلاح شده است برای نصب خود استفاده می كند. زمانی كه این بدافزار نصب شد، برنامه كاربردی پنهان زیر اجرا می شود:
/Library/Audio/Plug-Ins/Components/AudioService
/Library/LaunchAgents/com.apple.AudioService.plist
با توجه به ماهیت كد سوء استفاده جاوا كه در این حمله استفاده می شود، این فایل های خرابكار بدون رمز عبور نصب می شوند.

برای بررسی و حذف این بدافزار، به سادگی در سیستم خود به پوشه های بالا رفته و فایل های مربوطه را در صورت وجود حذف می نمایید و سپس سیستم خود را دوباره راه اندازی نمایید تا هر نمونه از بدافزار كه در پس زمینه در حال اجراست پاك شود.

این بدافزار هنوز گسترش نیافته است و اگر چه اوراكل رخنه های موجود در جاوا را برطرف كرده است و اپل نیز به روز رسانی هایی برای سرویس XProtect خود منتشر كرده است ممكن است بدافزارهای دیگری از كدهای سوء استفاه مشابه استفاده كرده باشند.

بنابراین برای حفاظت از خود در برابر چنین حملاتی می توانید اقدامات ذیل را انجام دهید:
۱. سیستم خود را به روز رسانی نمایید.
۲. جاوا را غیرفعال نمایید.
۳. عوامل و پوشه های مربوط به راه اندازی سیستم را نظارت نمایید.