پرش به محتوا
آخرین اخبار
اخبار

بدافزار جدید CrashStealer از Gatekeeper اپل عبور می‌کند

تیر ۲۳, ۱۴۰۵ نوشتهٔ hraicp3

کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی بدافزار جدید CrashStealer برای macOS خبر دادند؛ بدافزاری که با سوءاستفاده از برنامه‌های دارای امضای معتبر اپل، از سد Gatekeeper عبور کرده و اطلاعات حساس کاربران را سرقت می‌کند.

به گزارش کمیته رکن چهارم، پژوهشگران Jamf Threat Labs اعلام کردند CrashStealer که به زبان ++C توسعه یافته، پس از اجرا گذرواژه کاربر را به‌صورت محلی اعتبارسنجی کرده و سپس اطلاعات مرورگرها، کیف‌پول‌های رمزارزی، مدیران گذرواژه، Keychain و فایل‌های موجود در پوشه‌های Documents و Downloads را جمع‌آوری می‌کند. داده‌های سرقت‌شده پیش از ارسال با الگوریتم AES-GCM رمزگذاری شده و به سرور مهاجمان منتقل می‌شوند.

بررسی‌ها نشان می‌دهد این بدافزار از طریق یک فایل DMG امضاشده و تأییدشده توسط اپل منتشر می‌شود و به همین دلیل بدون هشدار از مکانیزم امنیتی Gatekeeper عبور می‌کند. CrashStealer همچنین با ایجاد LaunchAgent، استفاده از تکنیک‌های ضدتحلیل، رمزگذاری رشته‌ها و بازامضای فایل‌های خود، تلاش می‌کند ماندگاری و مخفی‌کاری بیشتری روی سیستم آلوده داشته باشد.

پژوهشگران هشدار داده‌اند که این بدافزار علاوه بر سرقت اطلاعات مرورگرهای مبتنی بر Chromium، بیش از ۸۰ افزونه کیف‌پول رمزارزی و ۱۴ مدیر گذرواژه را هدف قرار می‌دهد و احتمالاً بخشی از یک کارزار بزرگ‌تر علیه کاربران macOS است. به کاربران توصیه شده تنها نرم‌افزارها را از منابع معتبر دانلود کرده و نسبت به فایل‌های ناشناس، حتی در صورت داشتن امضای معتبر، احتیاط کنند.

منبع: The Hacker News