۰۲خردادماه،
محققان امنیتی چندین نمونه از جاسوسافزار تازه KitM را برای سیستمهای Mac Os X کشف و شناسایی کردهاند که یکی از آنها به دسامبر ۲۰۱۲ بازمیگردد و کاربران آلمانی زبان را هدف قرار داده است. KitM که با نام HackBack نیز شناخته میشود، یک برنامه راه نفوذ مخفی (backdoor) است که از صفحه نمایش تصویربرداری کرده و این تصاویر را برای یک سرور دستور و کنترل راه دور ارسال میکند. به گزارش ایتنا از مرکز ماهر، این جاسوسافزار همچنین مسیری برای اجرای دستورات مهاجمان بر روی سیستم آلوده باز میکند. این بدافزار اولین بار حدود ده روز پیش توسط یک محقق امنیتی بر روی لپتاپ مک یکی از اکتیویستهای Angolan در یک کنفرانس حقوق بشر در نروژ کشف شد. جالبترین جنبه KitM این است که توسط یک Apple Developer ID معتبر امضا شده است، این شناسه در حقیقت یک گواهینامه امضای کد است که توسط اپل به شخصی به نام «راجیندر کومار» اعطا شده است. برنامههای امضا شده توسط یک Apple Developer ID معتبر میتوانند ویژگی امنیتی Gatekeeper در Mac OS X Mountain Lion را دور بزنند. این ویژگی امنیتی منبع فایلها را بررسی میکند تا اطمینان حاصل کند که خطری برای سیستم ندارند. دو نمونه اول KitM که هفته قبل کشف شدند به سرورهای دستور و کنترل واقع در هلند و رومانی متصل بودند. محققان شرکت امنیتی «نورمن شارک»، نامهای دامنه این سرورها را به زیرساخت حمله یک کمپین جاسوسی سایبری هندی به نام Operation Hangover مرتبط کردند. روز چهارشنبه محققان F-Secure ویرایشهای دیگری از KitM را کشف کردند. این نمونهها در حملات هدفمند بین ماههای دسامبر و فوریه مورد استفاده قرار گرفته بودند و از طریق ایمیلهای حاوی فایلهای zip انتشار یافته بودند. برخی از پیوستهای خرابکار این ایمیلها عبارت بودند از Christmas_Card.app.zip، Content_for_Article.app.zip، Interview_Venue_and_Questions.zip، Content_of_article_for_[NAME REMOVED].app.zip و Lebenslauf_fur_Praktitkum.zip. نصب کنندههای KitM که در فایلهای zip قرار داشتند فایلهای اجرایی می باشند، اما آیکونهایی مرتبط با فایلای تصویری، ویدئویی اسناد Adobe PDF و اسناد Microsoft Word دارند. این ترفند معمولاً در بدافزارهای ویندوزی که از طریق ایمیل منتشر میشوند ملاحظه میگردد. ویرایشهای تازهاً کشف شده KitM نیز توسط همان گواهی راجیندر کومار امضا شدهاند. اپل این شناسه را هفته قبل پس از کشف اولین نمونهها باطل کرد، ولی این کار به قربانیان فعلی کمکی نمیکند. چراکه اگر بدافزاری یکبار از Gatekeeper عبور کند، پس از آن هرگز توسط Gatekeeper چک نخواهد شد و به کار خود ادامه خواهد داد. البته اپل میتواند با استفاده از ویژگی محافظت در برابر بدافزار خود به نام XProtect، فایلهای باینری شناخته شده KitM را در لیست سیاه قرار دهد، ولی ویرایشهای شناخته نشده این بدافزار همچنان به کار خود ادامه میدهند. به گفته محققان F-Secure، کاربران مک برای جلوگیری از اجرای این جاسوسافزار باید تنظیمات امنیتی Gatekeeper را طوری تغییر دهند که فقط برنامههای دانلود شده از Mac App Store مجوز نصب داشته باشند. البته این نوع تنظیمات ممکن است برای بعضی کاربران که به نرمافزارهای دیگری نیاز دارند دردسرساز باشد. |
ایتنا – آخرین عناوین :: rss_full_edition
باز نشر: پورتال خبری ممتاز نیوز www.momtaznews.com