کمیته رکن چهارم – بدافزار پروتون برای سامانه عامل مک با یک روش جدید و غیرمعمول برگشته است: وبگاه امنیتی شرکت سیمانتک را جعل کرده و سپس این وبگاه جعلی را از طریق توییتر پخش کرده است.
این وبگاه جعلی حاوی یک پست در بارهی یک نسحهی جدید بدافزار CoinThief است که از سال ۲۰۱۴ میلادی شناسایی شده است. پس از انجام تجزیه و تحلیل مشخص شد که این پست یک برنامه به نام «ابزار تشخیص بدافزار سمانتک» را توزیع میکند؛ لازم به ذکر است که چنین برنامهای اصلا وجود ندارد و این برنامه چیزی جز بدافزار پروتون نیست.
علاوهبر اینکه این وبگاه دارای محتوا است، آدرس URL آن نیز « symantecblog[dot]com» است که بسیار هوشمندانه انتخاب شده است. این مسائل باعث فریب خوردن کاربران میشود.
توماس رید (Thomas Reed)، مدیر بخش سامانه عامل مک و تلفن همراه در آزمایشگاه Malwarebytes گفت: «این نفوذگران وبگاه سیمانتک را به خوبی جعل کردهاند، حتی محتوایی که در این وبگاه جعلی قرار دادهاند، مشابه وبگاه اصلی سیمانتک است. در نگاه اول به نظر میرسد که اطلاعاتی که برای ثبت این دامنهی جعلی ارائه شده، قانونی است، و از همان نام و آدرس مشابه با وبگاه سیمانتک قانونی استفاده شده است. اما رایانامهای که برای ثبت این دامنهی جعلی مورد استفاده قرار گرفته، باعث لو رفتن قضیه میشود.»
جالب توجه است که این وبگاه از یک گواهینامهی قانونی SSL استفاده میکند، اما این گواهینامه توسط کومودو صادر شده است و نه خود شرکت سیمانتک.
در همین حال، پیوندهایی به این پست جعلی در توییتر در حال توزیع است. به نظر میرسد برخی از حسابهای کاربری که این پیوند را منتشر میکنند، حساب جعلی هستند، اما برخی از حسابها نیز به نظر قانونی میرسند.
توماس رید میگوید: «با توجه به این حقیقت که هدف اصلی بدافزار پروتون سرقت گذرواژههاست، این بدافزار میتواند به حسابهای کاربری که گذرواژهی آنها در حملات قبلی این بدافزار تحت تاثیر قرار گرفتهاند، نفوذ کند. با این حال، ممکن است این حسابهای کاربری قانونی افرادی باشند که فریب خوردهاند و فکر میکنند که این پست وبلاگ جعلی، واقعی است.»
کاربرانی که برنامهی «ابزار تشخیص بدافزار سیمانتک» بارگیری و اجرا میکنند، تحت تاثیر بدافزار پروتون قرار میگیرند. سپس این بدافزار به منظور جمعآوری اطلاعات شروع به کار میکند و گذرواژهی کاربر را در قالب متن اصلی ثبت کرده و همراه با دیگر اطلاعات شخصی قابل شناسایی (PII) به یک پروندهی مخفی ارسال میکند. این بدافزار همچنین اطلاعات دیگری مانند پروندههای keychain، دادههایی که به صورت خودکار توسط مرورگر پر میشوند، و گذرواژههای GPG را جمعآوری کرده و از شبکه خارج میکند. از آنجایی که این بدافزار گذرواژههای کاربر را جمعآوری میکند، نفوذگرانی که پشت این بدافزار هستند، میتوانند حداقل پروندههای keychain را رمزگشایی کنند.
رید گفت: «شرکت اپل از وجود این بدافزار آگاه است و گواهینامهای که برای امضای این بدافزار مورد استفاده قرار گرفته است را ابطال کرده تا بتواند در آینده از تاثیرات مخرب ابزار تشخیص بدافزار سیمانتک جلوگیری کند. با این وجود، این اقدام به دستگاهی که در حال حاضر تحت تاثیر این بدافزار قرار گرفته، کمکی نمیکند.»
این پژوهشگر گفت: «از آنجایی که بدافزار پروتون برای سرقت اطلاعات ورود به سامانه طراحی شده است، لازم است در صورتی که تحت تاثیر قرار گرفتهاید چند اقدام اضطراری انجام دهید. شما باید فرض کنند که تمام گذرواژههای برخط تحت تاثیر قرار گرفتهاند و همهی این گذرواژهها را تغییر دهید. همچنین باید اطمینان حاصل کنید تا زمانی که تحت تاثیر این بدافزار قرار دارید، در تمام وبگاهها از گذرواژههای متفاوتی استفاده کرده، و از یک برنامهی مدیریت گذرواژه (مانند ۱Password یا LastPass) برای نگهداری از این گذرواژهها استفاده کنید. از آنجایی که مخزنهای برنامهی ۱Password یکی از اهداف برنامهی پروتون است، به هیچ وجه گذرواژهی اصلی برنامهی مدیریت گذرواژه را در این برنامه یا هیچ جای دیگر در رایانهی آسیبدیده ذخیره نکنید. این تنها گذرواژهای است که شما باید آنرا به خاطر بسپارید، و این گذرواژه باید یک گذرواژهی قوی باشد.»
کاربران همچنین باید احراز هویت دو مرحلهای را فعال کنند.
منبع : news.asis.io
