به گزارش شرکت امنیتی ESET بهتازگی بدافزاری شناسایی شده است که هدف آن سرقت اطلاعات نرمافزار مدیریت گذرواژههای مک یعنی Keychain است.
نرمافزار Keychain شامل همهی شناسه/گذرواژههایی است که توسط کاربر وارد میشود، از جملهی اطلاعات رایانامه (اگر از نرمافزار مدیریت رایانامهی اپل استفاده شود)، اطلاعات اتصال به وایفای، اطلاعات گواهینامههای امنیتی و سایر اطلاعاتی که اهمیت زیادی دارند در این نرمافزار ذخیره میشوند.
معرفی بدافزار
این بدافزار با نام OSX/Keydnap شناسایی شده است، هنوز مشخص نیست راه انتشار این بدافزار پیوستهای آلوده رایانامه است یا وبگاههای آلوده و یا هر روش دیگری که مجرمان سایبری برای انتقال بدافزار از آن بهره میبرند.
مولفهی بارگیر این بدافزار از راه یک پروندهی فشردهی zip منتشر میشود. محتوای این پروندهی فشرده یک پرونده با قالب jpeg یا txt است که البته در واقع یک پروندهی اجرایی است که فقط پسوند آن تغییر کرده است و دوبار کلیک روی آن منجر به اجرا شدن بدافزار میشود. پس از کلیک روی این پروندهی آلوده، ترمینال برای مدت بسیار کوتاهی باز میشود و کاربر متوجه نمیشود که یک فعالیت مشکوک در سامانهی وی شروع شده است.
این پروندهها در واقع حتی شامل یک تصویر جعلی هم هستند که کاربر را تشویق به کلیک روی آنها میکند، از جمله تصاویر مربوط به اطلاعات تحلیل بدافزار و یک تصویر مربوط به بهروزرسانی مرورگر فایرفاکس که نشان میدهد مجرمان به دنبال آلوده کردن سامانههای محققان و تحلیلگران بدافزار نیز هستند.
عملیات بدافزار
عملیات اصلی این بدافزار از یک پروژهی متنباز در گیتهاب به نام Keychaindump استفاده میکند. مشابه این پروژه بدافزار تلاش میکند در حافظه به دنبال کلید رمزگشایی Keychain باشد و حتی شاید بتوان نتیجه گرفت که کد بدافزار مستقیماً از گیتهاب گرفته شده باشد.
اطلاعات به سرقترفته از رایانهی قربانی به کمک ارتباطات رمزشدهی HTTPS به کارگزارها ارسال میشود.
مجرمان سایبری از آدرسهای onion مربوط به شبکهی گمنام تور برای ارتباط استفاده کردهاند.
قربانیان
هنوز مشخص نیست این بدافزار به چه صورت منتقل میشود و همچنین تعداد قربانیان این بدافزار نیز مشخص نیست.
با این حال به نظر میرسد این بدافزار این قابلیت را دارد که در سطح گستردهای منتشر شود.
به کاربران مک توصیه میشود به هیچ عنوان پروندههای مشکوک فشرده که از منابع غیر معتبر دریافت میکنند را در رایانهی خود اجرا نکنند.
منبع: asis
درباره نماد امنیت وب
“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.