سرقت شناسه/گذرواژه‌ها از سامانه‌های مک توسط بدافزارKeydnap

نوشته شده در تاریخ توسط published

به گزارش شرکت امنیتی ESET به‌تازگی بدافزاری شناسایی شده است که هدف آن سرقت اطلاعات نرم‌افزار مدیریت گذرواژه‌های مک یعنی Keychain است.
نرم‌افزار Keychain شامل همه‌ی شناسه‌/گذرواژه‌هایی است که توسط کاربر وارد می‌شود، از جمله‌ی اطلاعات رایانامه (اگر از نرم‌افزار مدیریت رایانامه‌ی اپل استفاده شود)، اطلاعات اتصال به وای‌فای، اطلاعات گواهی‌نامه‌های امنیتی و سایر اطلاعاتی که اهمیت زیادی دارند در این نرم‌افزار ذخیره می‌شوند.

معرفی بدافزار
این بدافزار با نام OSX/Keydnap شناسایی شده است، هنوز مشخص نیست راه انتشار این بدافزار پیوست‌های آلوده رایانامه است یا وب‌گاه‌های آلوده و یا هر روش دیگری که مجرمان سایبری برای انتقال بدافزار از آن بهره می‌برند.
مولفه‌ی بارگیر این بدافزار از راه یک پرونده‌ی فشرده‌ی zip منتشر می‌شود. محتوای این پرونده‌ی فشرده یک پرونده با قالب jpeg یا txt است که البته در واقع یک پرونده‌ی اجرایی است که فقط پسوند آن تغییر کرده است و دوبار کلیک روی آن منجر به اجرا شدن بدافزار می‌شود. پس از کلیک روی این پرونده‌ی آلوده، ترمینال برای مدت بسیار کوتاهی باز می‌شود و کاربر متوجه نمی‌شود که یک فعالیت مشکوک در سامانه‌ی وی شروع شده است.
این پرونده‌ها در واقع حتی شامل یک تصویر جعلی هم هستند که کاربر را تشویق به کلیک روی آن‌ها می‌کند، از جمله تصاویر مربوط به اطلاعات تحلیل بدافزار و یک تصویر مربوط به به‌روز‌رسانی مرورگر فایرفاکس که نشان می‌دهد مجرمان به دنبال آلوده کردن سامانه‌های محققان و تحلیل‌گران بدافزار نیز هستند.

zip_file
عملیات بدافزار
عملیات اصلی این بدافزار از یک پروژه‌ی متن‌باز در گیت‌هاب به نام Keychaindump استفاده می‌کند. مشابه این پروژه بدافزار تلاش می‌کند در حافظه به دنبال کلید رمزگشایی Keychain باشد و حتی شاید بتوان نتیجه گرفت که کد بدافزار مستقیماً از گیت‌هاب گرفته شده باشد.
اطلاعات به سرقت‌رفته از رایانه‌ی قربانی به کمک ارتباطات رمزشده‌ی HTTPS به کارگزارها ارسال می‌شود.
مجرمان سایبری از آدرس‌های onion مربوط به شبکه‌ی گمنام تور برای ارتباط استفاده کرده‌اند.

قربانیان
هنوز مشخص نیست این بدافزار به چه صورت منتقل می‌شود و هم‌چنین تعداد قربانیان این بدافزار نیز مشخص نیست.
با این حال به نظر می‌رسد این بدافزار این قابلیت را دارد که در سطح گسترده‌ای منتشر شود.
به کاربران مک توصیه می‌شود به هیچ عنوان پرونده‌های مشکوک فشرده که از منابع غیر معتبر دریافت می‌کنند را در رایانه‌ی خود اجرا نکنند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.