info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

درب پشتی خطرناک برای سیستم‌عامل مک

خلاصه: محققان به‌تازگی درب‌پشتی‌ای مخصوص سیستم‌عامل مک را کشف کرده‌اند که Calisto نامیده شده و سال‌هاست که در برابر آنتی‌ویروس‌های مختلف ناشناخته مانده است. این بدافزار در ماشین آلوده شده، یک فولدر پنهان .Callisto برای ذخیره‌ی مجوزهای ورود، جزئیات ارتباطات شبکه و داده‌های کروم ایجاد کرده و می‌تواند آن‌ها را به سرور کنترل و فرمان بفرستد. توصیه می‌کنیم برای محافظت در برابر Calisto، هرگز SIP را غیرفعال نکنید، سیستم‌عامل را به آخرین نسخه به‌روزرسانی کنید، نرم‌افزارها را فقط از منابع قابل اعتماد دانلود کنید و از یک آنتی‌ویروس قابل اعتماد استفاده کنید.

 

محققان به‌تازگی درب‌پشتی‌ای مخصوص سیستم‌عامل مک را کشف کرده‌اند که Calisto نامیده شده و سال‌هاست که در برابر آنتی‌ویروس‌های مختلف ناشناخته مانده است. این بدافزار ابتدا در سال ۲۰۱۶ در virustotal آپلود شد و تا ماه می ۲۰۱۸ ناشناخته ماند.

فایل نصب Calusto یک ایمیج DMG بی‌امضا است که وانمود می‌کند که یک نرم‌افزار امنیتی مک است.

نویسندگان این بدافزار، آن را به‌شکلی بسیار موجه طراحی کرده‌اند و فقط کاربرانی که برنامه‌ی واقعی را نصب کرده‌اند می‌توانند تفاوت را تشخیص دهند.

همانند سایر نرم‌افزار‌ها، این اپلیکیشن هم فرآیند نصب را با "موافقت‌نامه" آغاز کرده و در گام بعدی نام کاربری و رمز عبور را درخواست می‌کند. هنگامی که کاربر مجوزها را وارد می‌کند، پیغام شکست نصب را نمایش داده شده و از کاربر پکیج نصب جدیدی از سایت رسمی را درخواست می‌شود.

فعالیت Calisto روی یک کامپیوتر با SIP فعال شده، محدود شده و در هنگام تغییر فایل‌سیستم‌ها با شکست مواجه می‌شود. این بدافزار در ماشین آلوده شده، یک فولدر پنهان .Callisto برای ذخیره‌ی داده‌های Keychain، مجوزهای ورود، جزئیات ارتباطات شبکه و داده‌های کروم ایجاد می‌کند.

این بدافزار در سیستمی با SIP غیرفعال، عملیات دیگری شامل موارد زیر را نیز انجام می‌دهد:

  • کپی خود در فولدر ‎/System/Library
  • ایجاد تنظیمات راه‌اندازی اتوماتیک در زمان استارتاپ برای خود
  • اضافه کردن خود به Accessibility
  • برداشت اطلاعات بیشتر در مورد سیستم
  • فعال‌سازی دسترسی راه دور به سیستم
  • انتقال داده‌های برداشت شده به سرور کنترل و فرمان

به‌گفته‌ی محققان این بدافزار شباهت زیادی به Backdoor.OSX.Proton دارد.

برای محافظت در برابر Calisto، هرگز SIP را غیرفعال نکنید، سیستم‌عامل را به آخرین نسخه به‌روزرسانی کنید، نرم‌افزارها را فقط از منابع قابل اعتماد دانلود کنید و از یک آنتی‌ویروس قابل اعتماد استفاده کنید.

 

    

مطالب مرتبط