محققان روز چهارشنبه اعلام کردند نسخه مربوط به OS X از خانواده درب پشتی را کشف کردهاند که در چند بستر وجود دارد. استفان اورتلوف، یکی از محققان گروه تحلیل و تحقیق جهانی آزمایشگاه Kaspersky، در ماه ژانویه موفق به شناسایی این خانوادهی دربهای پشتی با نام Mokes شد، اما نسخه سامانهی عامل OS X آن، روز سهشنبه کشف شد. اورتلوف در مجموعهای از یادداشتها در Securelist، در مورد این دربهایپشتی نوشت که شامل لینوکس و نسخههای مختلف از ویندوز و نوع جدید در OS X میشد.
درپشتی نسخهی OS X همانند انواع نسخههای لینوکس و ویندوز، قادر به گرفتن پروندههای صوتی و تصویری در هر ۳۰ ثانیه، از دستگاه قربانی است.
Mokes همچنین میتواند حافظهی قابل حمل را نیز کنترل کند مانند زمانی که یک USB به رایانه متصل میشود، و حتی توانایی نظارت بر پروندههای سامانه برای آفیس را دارد مانند پروندههای docx ،.doc ،.xlsx و .xls.
این درپشتی میتواند فرامین دلخواه مهاجم را بر روی سامانه اجرا کند. مهاجم مذکور میتواند این فرامین را با اطلاعاتی که از طریق فیلترها در کارگزار کنترل و فرماندهی درپشتی بدست آورده است مطابق نیاز خود تنظیم کند.
اورتلوف بیان میکند که نمونهی OS X ی که مورد تحلیل قرار داده، unpacked بوده اما درحالیکه نسخه لینوکس که در ژانویه مورد تحقیق قرار داده بود، این نسخه عموما packed است. پس از اجرا شدن ، درپشتی خود را در مکانهای مختلف رونویسی میکند که شامل فضاهای ذخیرهی متعلق به اسکایپ، دراپباکس، گوگل و فایرفاکس است. این روش مشابه با روش لینوکس است که پس از اجراشدن، خودش را در مکانهای متعلق به دراپباکس و فایرفاکس رونویسی میکند.
پس از اینکه از طریق HTTP بر روی TCP و درگاه ۸۰ با کارگزار کنترل و فرمان ارتباط را آغاز میکند، این درپشتی از طریق TCP و درگاه ۴۴۳ با استفاده از رمزنگاری AES-۲۵۶ ارتباط برقرار میکند.
اورتلوف پس از مشاهدهی انواع لینوکس و ویندوز انتظار داشت که نمونهی مک OS X در ژانویه عرضه شود اما آنها هیچگاه پدیدار نشدند.
درست پس از بهدستآوردن نسخهی درپشتی .Linux.Mokes.a بود که اورتلوف قادر به استخراج و کشف نسخه درپشتی ویندوزی Win۳۲.Mokes.imv شد.
اورتلوف به بردار آلودگی درپشتی OS X و اینکه چقدر ردپاهای به جا مانده گسترده هستند را بدست نمیآورد. با اینحال، بر اساس تعریف او، درپشتی Mokes OS X، بدافزاری پیچیده است. درخواستی که روز چهارشنبه برای شرکت اپل در رابطه توضیحات پیرامون این درپشتی فرستاده شد، هنوز پاسخ داده نشده است. از آنجا که مهاجمان به دنبال کشف رخنههای موجود در OS X و بیشتر بر روی iOS بودهاند، درهای پشتی OS X کمتر دیده شدهاند. در سال ۲۰۱۲ محققان امینی در آزمایشگاه Kasrepsky یک پویش APT را کشف کردند که از یک در پشتی OS X برای هدف قرار دادن فعالان Uyghur استفاده میکردند. این درپشتی از طریق رایانامههای مورد هدف قرارگرفته که شامل پروندههای zip. و jpeg. و برنامههای OS X بودند، به گردش درمیآمد؛ و پس از اجرا شدن به کارگزار کنترل و فرمان نرمافزار متصل شده و به مهاجم اجازه میداد تا فرمانهای اختیاری خود را انجام دهد و به پروندههای دستگاه آلودهشده دسترسی داشته باشد.
در مجموع، بدافزار مک بهعنوان تهدیدی قابللمس در طی سالیان اخیر نمود پیداکرده است. WireLurker که توسط محققین در Palo Alto Networks کشف شد، قادر به سرقت اطلاعات سامانه و اطلاعات ذخیرهشده در دستگاههای تلفن همراهی بود که از iOS استفاده میکردند. دو تهدید دیگر نیز توسط شرکت یافت شدند که اولین مورد XcodeGhost است که کدهای مخرب را به تعدادی از نرمافزارهای محبوب iOS اضافه میکرد. تهدید دوم YiSpecter است که از گواهی برنامههای پروژه اپل برای آلودگی به تبلیغافزارها استفاده میکرد.
منبع: asis
درباره نماد امنیت وب
“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.