آخرین اخبار
صفحه اصلی
اخبار

دسترسی به ترافیک رمزنگاری‌شده در سامانه‌های مک توسط بدافزار Dok

تاریخ:
در: اخبار, امنیت سایبری
دیدگاهتان را بنویسید:
648 نمایش ها

کمیته رکن چهارم – یک بدافزار مخصوص سامانه‌های مک کشف شده که در دنیای واقعی مورد استفاده قرار می‌گیرد و این مسئله اتفاق نادری است. این بدافزار با نام Dok در اولین دور از تلاش‌های خود، از طریق رایانامه‌های فیشینگ، کاربران سامانه‌های مک را هدف قرار داده است.

به گزارش کمیته رکن چهارم،این بدافزار توسط محققان امنیتی چک‌پوینت کشف شده و آن‌ها اعلام کرده‌اند تمامی نسخه‌های OSX تحت تأثیر این بدافزار قرار می‌گیرند و توسط ابزار VirusTotal قابل شناسایی نیست. نکته‌ای که وجود دارد و مسئله را بدتر می‌کند این است که بدافزار با استفاده از یک گواهی‌نامه‌ی معتبر، متعلق به یک توسعه‌دهنده امضاء شده و این گواهی‌نامه نیز توسط اپل صادر شده است.

زمانی‌که بدافزار سامانه‌ی هدف را آلوده کرد، تلاش می‌کند به دسترسی‌های سطح بالا رسیده و کنترل ارتباطات از جمله ارتباطات SSL را در دست بگیرد. محققان کشف کردند که بدافزار بیشتر کاربرهای اروپایی را هدف قرار داده و از روش‌های فیشینگ بسیار استادانه‌ای استفاده می‌کند. به‌عنوان مثال یک کاربر آلمانی پیامی با مضمون تناقض در اظهارنامه‌ی مالیاتی دریافت کرده است.

این بدافزار چه کارهایی انجام می‌دهد؟

این بدفزار در یک پرونده‌ی آرشیوی با نام Dokument.zip قرار داده شده است. به محض اجرا، بدافزار خود را در مسیر /Users/Shared/folder رونویسی کرده و از مکان جدید به اجرای پرونده‌ی خود می‌پردازد. در این شرایط یک پاپ‌آپ به کاربر نمایش داده شده و اعلام می‌کند این پرونده آسیب دیده و به‌درستی اجرا نمی‌شود.

محققان چک‌پوینت در توضیحات خود گفتند: «این برنامه‌ی مخرب در ادامه یک پنجره بر روی تمامی پنجره‌های دیگر نمایش می‌دهد. در این پنجره‌ی جدید پیامی وجود دارد که ادعا می‌کند یک مشکل امنیتی در سامانه عامل بوجود آمده و به‌روزرسانی مربوط با آن، در دسترس است. در پیام از کاربر خواسته شده برای دریافت به‌روزرسانی گذرواژه‌ی خود را وارد کند. این بدافزار مکان سامانه را بررسی کرده و از دو زبان آلمانی و انگلیسی پشتیبانی می‌کند.»

تا زمانی‌که کاربر گذرواژه‌ی خود را وارد نکرده و نصب بدافزار تمام نشده، کاربر نمی‌تواند به هیچ یک از پنجره‌های دیگر دسترسی داشته باشد. وقتی که نصب بدافزار تمام شد، برنامه‌ی مخرب به امتیازات سطح بالا دست یافته و می‌تواند بسته‌ی brew را نصب کند. این بسته برای مدیریت سایر بسته‌ها در سامانه‌های مک مورد استفاده قرار می‌گیرد. بدافزار در ادامه نیز TOR و SOCAT را نصب می‌کند.

محققان اشاره کردند: «این بدافزار در ادامه می‌تواند تنظیمات مربوط به شبکه‌ی دستگاهِ آلوده را تغییر داده و کاری کند که تمامی ارتباطات خروجی از یک پروکسی عبور کنند. این پروکسی بر روی کارگزار مخرب مهاجمان قرار گرفته است.» همچنین یک گواهی‌نامه‌ی ریشه‌ی جدید بر روی سامانه‌ی آلوده نصب می‌شود که به مهاجمان اجازه‌ی شنود ترافیک شبکه را می‌دهد.این گواهی‌نامه می‌تواند بدون اطلاع کاربر هر وب‌گاهی را جعل کند.

منبع:softpedia

برچسب ها:

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد.


Type The Red Captcha Characters Below.