کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی بدافزار جدید CrashStealer برای macOS خبر دادند؛ بدافزاری که با سوءاستفاده از برنامههای دارای امضای معتبر اپل، از سد Gatekeeper عبور کرده و اطلاعات حساس کاربران را سرقت میکند.
به گزارش کمیته رکن چهارم، پژوهشگران Jamf Threat Labs اعلام کردند CrashStealer که به زبان ++C توسعه یافته، پس از اجرا گذرواژه کاربر را بهصورت محلی اعتبارسنجی کرده و سپس اطلاعات مرورگرها، کیفپولهای رمزارزی، مدیران گذرواژه، Keychain و فایلهای موجود در پوشههای Documents و Downloads را جمعآوری میکند. دادههای سرقتشده پیش از ارسال با الگوریتم AES-GCM رمزگذاری شده و به سرور مهاجمان منتقل میشوند.
بررسیها نشان میدهد این بدافزار از طریق یک فایل DMG امضاشده و تأییدشده توسط اپل منتشر میشود و به همین دلیل بدون هشدار از مکانیزم امنیتی Gatekeeper عبور میکند. CrashStealer همچنین با ایجاد LaunchAgent، استفاده از تکنیکهای ضدتحلیل، رمزگذاری رشتهها و بازامضای فایلهای خود، تلاش میکند ماندگاری و مخفیکاری بیشتری روی سیستم آلوده داشته باشد.
پژوهشگران هشدار دادهاند که این بدافزار علاوه بر سرقت اطلاعات مرورگرهای مبتنی بر Chromium، بیش از ۸۰ افزونه کیفپول رمزارزی و ۱۴ مدیر گذرواژه را هدف قرار میدهد و احتمالاً بخشی از یک کارزار بزرگتر علیه کاربران macOS است. به کاربران توصیه شده تنها نرمافزارها را از منابع معتبر دانلود کرده و نسبت به فایلهای ناشناس، حتی در صورت داشتن امضای معتبر، احتیاط کنند.
منبع: The Hacker News



