info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

Macware!‎ جاسوسی بدافزار جدید مک از ترافیک کاربر

خلاصه: بسیاری تصور می‌کنند که سیستم‌عامل MacOS امن بوده و به بدافزار آلوده نمی‌شود. اما این یک تصور غلط بوده و بدافزار‌های زیادی کاربران این سیستم‌عامل را مورد هدف قرار داده‌اند؛ یکی از این بدافزار‌ها که به تازگی کشف شده است، این توانایی را دار که از ترافیک کاربر، حتی ترافیک رمز شده آن جاسوسی کند.

 

بسیاری از افراد تصور می‌کنند که اگر از سیستم‌عامل MacOS شرکت اپل استفاده کنند از بدافزار‌ها در امان بوده و برای حفظ امنیت نیاز نیست تلاش کنند. اما این تصور کاملا اشتباه بوده و سیستم‌عامل مک نیز مورد حمله بدافزار‌های زیادی قرار می‌گیرد. طبق آمار شرکت MacAfee تعداد حملات به سیستم‌عامل مک در سال میلادی گذشته رشد ۷۴۴ درصدی داشته است و تحقیقات نشان می‌دهد نزدیک به ۴۶۰.۰۰۰ نوع بدافزار برای این سیستم‌عامل وجود دارد. کارشناسان معتقدند این آمار نشانگر تنها گوشه‌ای از حضور بدافزار‌ها در این حوزه است.

در چند روز گذشته، محققان شرکت CheckPoint یک بدافزار جدید سیستم‌عامل مک را کشف نموده‌اند که کاملا غیر‌ قابل تشخیص است. این بدافزار روی همه نسخه‌های مک کارآمد بوده و به وسیله یک توسعه دهنده معتبر امضا شده است.

این بدافزار که DOK نام دارد با استفاده از ایمیل‌های فیشینگ پخش شده و به عقیده کارشناسان اولین بدافزاری است که در مقیاسی چنین وسیع کاربران سیستم‌عامل مک را هدف قرار داده است. این بدافزار با رسیدن به دسترسی سطح مدیر سیستم، یک گواهینامه دسترسی روت روی سیستم قربانی نصب می‌کرد که به مهاجم این امکان را می‌دهد که به همه ارتباطات قربانی، حتی ارتباطات رمز شده SSL دسترسی داشته باشد.

این بدافزار با استفاده از یک ایمیل فیشینگ برای قربانی ارسال می‌شود. در ایمیل ادعا می‌شود که مشکلاتی در پرداخت مالیات فرد پیش آمده و از آن می‌خواهد که فایل فشرده شده را باز کرده و اجرا کند. چون بدافزار توسط یک توسعه دهنده تایید شده توسط اپل امضا شده است، بدافزار به سادگی Gatekeeper را مکه یک امکان امنیتی در سیستم‌عامل مک است دور می‌زند. این بدافزار متاسفانه در تقریبا همه آنتی‌ویروس‌ها هم قابل شناسایی نیست.

زمانی که بدافزار نصب می‌شود، خود را در مسیر Users/Shared/‎ کپی می‌کند و خود را در loginItem اضافه می‌کند تا پایدار باشد و در هر بار راه‌اندازی سیستم به صورت خودکار عمل کند تا زمانی که نصب موارد مورد نیاز خود را به پایان برساند.

پس از آن بدافزار یک پنجره به کاربر نمایش می‌دهد که حاوی پیامی است که یک به‌روز‌رسانی امنیتی برای رفع یک مشکل امنیتی ارائه شده و کاربر باید آن را نصب نماید و از کاربر می‌خواهد که کلمه عبور خود را وارد کند.

زمانی که کاربر این به‌روز‌رسانی جعلی را نصب کند، بدافزار دسترسی مدیر پیدا کرده و تنظیمات شبکه سیستم قربانی را تغییر می‌دهد و همه ترافیک سیستم را از طریق پروکسی انتقال می‌دهد. پس از آن بدافزار یک گواهینامه دسترسی روت روی سیستم قربانی نصب می‌کند که به مهاجم اجازه می‌دهد که به صورت مردی در میان قرار بگیرد و همه ترافیک قربانی را در دست بگیرد.

پس از ایجاد تغییرات مورد نظر خود، بدافزار DOK خود را پاک می‌کند. به همین دلیل هنوز هیچ آنتی‌ویروسی نتوانسته برای مقابله با آن اقدام کند. تنها راه مقابله با آن باطل کردن مجوز توسعه‌دهنده‌ای است که این بدافزار را امضا نموده است که این کار باید توسط اپل انجام شود.

پس از انتشار این خبر اپل اعتبارنامه‌ای را که این بدافزار با آن امضا شده بود باطل نمود و امکان آلوده شدن کاربران بدون اطلاع آن‌ها وجود ندارد و اگر بدافزار اجرا شود یک پیام هشدار به کاربر نمایش داده می‌شود که از اجرای این فایل خودداری کند. همچنین اپل در یک به‌روز‌رسانی در این هفته ضد بدافزار خود را برای مقابله با DOK و بدافزار‌های مشابه به‌روز کرده است.