سوءاستفاده دوباره از برنامه Transmission برای توزیع بدافزارهای مک

اخبار جدید در حوزه رایانه و اینترنت خبر از آلوده شدن کاربران مک به بدافزار OSX/Keydnap می‌دهند. این اتفاق هنگامی رخ می‌دهد که کاربران مک یک نرم‌افزار سمت مشتری بیت‌تورنت با نام Transmission را جستجو می‌کنند.

کارشناسان امنیتی شرکت ESET به تازگی یک برنامه سمت مشتری معروف بیت‌تورنت را با نام Transmission شناسایی کرده‌اند که یک بدافزار مک با نام OSX/Keydnap را توزیع می‌کند. این بدافزار به منظور سرقت محتوای سامانه مدیریت رمز OS X استفاده می‌شود و یک درب پشتی دائمی را روی رایانه کاربر طراحی می‌کند. طبق گزارش‌ها، این دومین بار است که برنامه Transmission به این شکل برای ارسال کدهای مخرب مورد استفاده قرار می‌گیرد.

در ماه مارس نیز محققان شرکت Palo Alto Networks یک پویش مخرب را کشف کردند که توسط مشتریان شرکت اپل گزارش شده بود. این مشتریان هنگام جستجوی آخرین نسخه Transmission با این پویش روبرو شده بودند و در آن زمان، Transmission توسط یک گروه جدید از باج‌افزارهای مورد استفاده برای حمله به فرآیند نصب OS X، آلوده شده بود.

شرکت Palo Alto Networks طی اطلاعیه‌ای در این خصوص بیان داشت: «در تاریخ چهارم مارس، محققان این شرکت دریافتند که نرم‌افزار Transmission بیت‌تورنت توسط یک باج‌افزار آلوده شده است. این اتفاق تنها چند ساعت پس از آن رخ داد که این برنامه نصب‌کننده در دسترس قرار گرفت. محققان این باج‌افزار را KeRanger نامگذاری کرده‌اند.»

محققان با کشف و نام‌گذاری این باج‌افزار، تحلیل‌هایی را در مورد این باج‌افزار منتشر کردند. علاوه بر این، محققان شرکت ESET نیز کشف کردند که بدافزار Keydnap از طریق وبگاه رسمی Transmission پخش می‌شود. این محققان طی اطلاعیه‌ای در این خصوص اعلام کردند: «بدافزار OSX/Keydnap طی چندین ساعت گذشته از یک وبگاه رسمی پخش می‌شود. این بدافزار با استفاده از یک برنامه متن‌باز مشتری بیت‌تورنت با نام Transmission، خود را روی این وبگاه اصلی پخش می‌کند.»

این برنامه در عین حال تلاش‌هایی را در خصوص رفع بخش مخرب خود انجام داده است. برای اطمینان و احتیاط بیشتر، به کاربرانی که طی روزهای یکشنبه و دوشنبه گذشته این برنامه را بارگیری کرده‌اند، توصیه می‌شود که بررسی‌هایی را در خصوص رایانه و سامانه خود ترتیب دهند.

نکته مهم در این خصوص این است که جاسوسان فضای مجازی می‌توانند با استفاده از بدافزار Keydnap یک درب پشتی را روی رایانه مورد هدف خود طراحی کنند. این درب پشتی سپس راه را برای صدور دستورات اجرای از راه دور روی سامانه‌های مک هموار می‌کند.

اتفاق مهم دیگر در این خصوص که تصادفی به نظر نمی‌رسد، وقوع دو حمله علیه این برنامه است. محققان حوزه بدافزار شرکت ESET در این خصوص معتقدند که شباهت‌های بسیاری میان این دو حمله وجود دارد. برای مثال، در هر دو حمله کدهای مخرب به تابع اصلی برنامه اضافه شده‌اند. علاوه بر این، کد مخرب OSX/Keydnap در کنار یک کلید ورود اصلی قرار گرفته بود. این اقدام و روش به جاسوسان اجازه می‌دهد که از سد سامانه حفاظتی Gatekeeper به راحتی عبور کنند. این شرکت طی اطلاعیه‌ای در این خصوص بیان کرد: «در هر دو موارد، یک مجموعه از کدها به تابع اصلی برنامه Transmission اضافه می‌شود. کد پیاده‌سازی و اجرای این بار داده مخرب نیز در هر دو حمله یکسان است. در حمله ترتیب داده‌شده توسط باج‌افزار KeRanger نیز یک کلید ورود را برای ورود به مجموعه برنامه Transmission استفاده می‌کند. این کدها متفاوت از گواهی اصلی برنامه است، اما با این حال از طریق دستگاه‌های اپل قابل ورود بوده و از برنامه حفاظتی Gatekeeper نیز عبور می‌کند.»

کارشناسان در این خصوص تصور می‌کنند که وبگاه این برنامه مورد نفوذ واقع شده است و نفوذگران با بارگذاری نسخه آلوده و مخرب این برنامه، مقدمات حمله خود را چیده‌اند. در عین حال، شرکت ESET طی اطلاعیه هشداری، شرکت اپل را از این مشکل آگاه کرده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap