سامانه‌های Mac OS X؛ هدف حملات ترس‌افزار‌ی

رد پای یک حمله‌ی منحصربه‌فرد ترس‌افزاری در سامانه‌های Mac OS X کشف شده است و این احتمال وجود دارد که توسعه‌دهندگانی که در پشت این بدافزار قرار دارند مدت‌های زیادی مشغول فعالیت بوده‌اند، زیرا که نرم‌افزار عامل نصب این ترس‌افزار به وسیله‌ی یک گواهی‌نامه‌ی قانونی توسعه‌دهندگان اپل امضاء شده است.
یوهانس اولریش، رئیس بخش تحقیقات اینترنت مؤسسه‌ی SANS به صورت علنی در مورد این حمله اظهار داشت: «متأسفانه، این گواهی‌نامه‌ی خاص توسعه‌دهندگان (اختصاص‌یافته به Maksim Noskov) احتمالاً برای دو سال است که مورد سوءاستفاده قرار می‌گیرد.»
اولریش می‌گوید که او در حالی‌که در مورد پیوند‌های طعمه-کلیک در فیس‌بوک تحقیق می‌کرد با این کلاه‌برداری مواجه شد. یکی از آن‌ها او را به emgn[.]com هدایت می‌کردند که به احتمال زیاد یک آگاهی مخرب را میزبانی می‌کرد و در آن یک اطلاعیه ظاهر می‌شد با این عنوان که نرم‌افزار ادوبی فلش‌پلیر شما به روز نیست. اولریش از ابتدا یک نسخه‌ی پیش‌فرض از OS X ۱۰.۱۱ را روی یک ماشین مجازی نصب کرد، که در آن نرم‌افزار فلش‌پلیر نصب نشده بود.
اگر کاربر بر روی دکمه‌ی بارگیری ‌این اطلاعیه کلیک می‌کرد، این ترس‌افزار به همراه نسخه‌ی کنونی و قانونی فلش‌پلیر نصب می‌شد.
این گواهی‌نامه‌ی قانونی توسعه‌دهندگان اپل، احتمالاً به این بدافزار اجازه می‌داد تا از قابلیت‌های امنیتی OS X’s Gatekeeper گذر کند. Gatekeeper در سامانه‌ی عامل OS X از پیش نصب است و به کاربران کنترل بهتری را برای اجازه‌ی نصب نرم‌افزارها در سامانه‌ی عامل مک می‌دهد، تنها نرم‌افزارهایی که از فروشگاه اپل بارگیری شده باشند و یا با گواهی‌نامه‌ی اپل امضاء شده باشند اجازه دارند تا از این نرم‌افزار امنیتی گذر کنند. محققی به نام پاتریک واردل برخی از این موارد دور زدن‌های Gatekeeper را نشان داده است که نیازی به گواهی‌نامه‌هایی که بخشی از آن از سوی اپل مورد بررسی قرار گرفته شده باشند، ندارند.
اولریش در این مورد می‌گوید که نرم‌افزار XProtect شرکت اپل که یک محافظ ضدبدافزار موجود در سامانه‌ی OS X است، و نیز نمی‌تواند این تهدید را کشف کند. او اضافه می‌کند که نرخ تشخیص در VirusTotal در ابتدا کم بود، اما پیوسته توسعه و بهبود یافته است.
هنگامی که نصب‌کننده‌ی این ترس‌افزار آن را پیاده‌سازی می‌کند، کاربر دکمه‌ای را مشاهده می کند که با فشار آن شروع به بررسی رایانه برای مشکلات احتمالی می‌کند. این بررسی یک لوگوی تقلبی از شرکت‌های امنیتی را در بر دارد تا نشان دهد این ابزار تأیید شده است. طبیعتاً این پویش انجام‌شده توسط این ترس‌‌افزار تعدادی از بدافزارها، تروجان‌ها و … را در سامانه نشان می‌دهد که باید مورد بررسی قرار گیرند و به کاربر پیشنهاد می‌کند تا ابزار پاک‌سازی آ‌ن‌ها را بخرد.
اولریش می‌گوید که تبلیغات مخرب به احتمال زیاد به انگشت‌نگاری مرورگر می‌پردازد تا کاربران OS X‌ را هدف قرار دهد و نصب نسخه‌ی قانونی فلش برای این انجام می‌شود که به این حمله مشروعیت بخشد. او می‌گوید که تاکنون چنین اطلاعیه‌ای را در سامانه‌ی عامل ویندوز ندیده است.
اولریش می‌گوید: «من فکر می‌کنم که اطلاعیه‌ی اولیه‌ی به‌روزرسانی فلش کاملاً قانع‌کننده است. به محض این‌که این ترس‌افزار نصب می‌شود، من شخصاً اقدام آن را کمی اغراق‌آمیز و نه کاملاً قابل قبول می‌بینم، اما من قبلاً با چندین نفر صحبت کرده‌ام که در دام چنین ترس‌افزارهایی افتاده بودند.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.