کمیته رکن چهارم – محققان امنیتی اخیراً بدافزاری را کشف کردند که بهطور ویژه کاربران اپل را هدف قرار داده است. این در حالی است که بدافزار قبلاً نیز سامانههای ویندوز و بستر اندروید را آلوده کرده بود. گفته میشود این بدافزار مربوط به پویشی با نام «عملیات امنتال» است که برای اولین بار در سال ۲۰۱۲ میلادی مورد بررسی قرار گرفت.
بدافزار جدید Dok نام داشته و به گزارش ترندمیکرو بهطور ویژه بانکهای سوئیس را هدف قرار داده است. ماهیت این بدافزارِ مک مشابه بدافزارها و تروجان ویندوزی Retefe و WERDLOD است و تلاش میکند دستگاههای اپل را از طریق رایانامههای فیشینگ آلوده کند. این رایانامههای آلوده دارای پروندههای با فرمتهای ZIP و DOCX هستند. ترندمیکرو اعلام کرده هر دوی این پروندهها تروجانهای بانکی هستند که قابلیتهای مشابهی دارند.
صفحهی جعلی برای ورود به بانک
پس از اینکه کاربر بر روی پروندههای آلوده و مخرب کلیک کرد، برنامهی فروشگاه از دستگاه حذف شده و یک صفحهی جعلی برای بهروزرسانی OS X نمایش داده میشود. در این صفحهی جعلی برای ادامهی کار از کاربر گذوراژههای مدیریتی درخواست میشود. وقتی گواهینامهها توسط کاربر وارد شد، این بدافزار میتواند برنامههای جانبی را بارگیری کرده و گواهینامههای جعلی را برای اجرای حملات مردِ میانی بر روی دستگاه قربانی مستقر کند.
این بدافزار بهطور خودکار زمانیکه میخواهد گواهینامههای جعلی را نصب کند، فرآیندهای مربوط به مرورگرها را میکُشد. وقتی کاربر میخواهد به بانکهای سوئیس متصل شود، صفحهی جعلی به او نمایش داده میشود تا گواهینامههای او را به سرقت ببرد. محققان امنیتی اشاره کردند: «ما پس از تجزیه و تحلیل بدافزار متوجه شدیم که یک اسکریپت مخرب را به صفحهی وبگاه تزریق میکند. زمانیکه کاربر گذرواژههای خود را وارد میکند، این اسکریپت با کمک AJAX یک درخواست POST را آغاز میکند. این پیام در ادامه به سمت آدرس نام دامنهی جعلی ارسال میشود که مهاجمان در شبکهی Tor میتوانند آن را کنترل کنند.»
برای جلوگیری از آلوده شدن به این بدافزار، به کاربران سامانههای مک توصیه میکنیم تا رایانامههایی با منبع مشکوک و ناشناس را باز نکرده و بر روی ضمیمههای آنها کلیک نکنند. همچنین از راهحلها و نرمافزارهای امنیتیِ قوی و بهروز استفاده کنند تا آلوده شدن به چنین بدافزارهایی را در وهلهی اول شناسایی کرده و مسدود کنند.
