ایتنا- به گفته محققان این بدافزار از دسامبر 2012 فعال بوده است.
شنبه ۴ خرداد ۱۳۹۲ ساعت ۱۴:۳۱
جاسوسافزار سیستمهای مك با امضای معتبر
محققان امنیتی چندین نمونه از جاسوسافزار جدید KitM را برای سیستمهای Mac Os X كشف و شناسایی كردهاند كه یكی از آنها به دسامبر ۲۰۱۲ بازمیگردد و كاربران آلمانی زبان را هدف قرار داده است.
KitM كه با نام HackBack نیز شناخته میشود، یك برنامه راه نفوذ مخفی (backdoor) است كه از صفحه نمایش تصویربرداری كرده و این تصاویر را برای یك سرور دستور و كنترل راه دور ارسال میكند.
به گزارش ایتنا از مرکز ماهر، این جاسوسافزار همچنین مسیری برای اجرای دستورات مهاجمان بر روی سیستم آلوده باز میكند.
این بدافزار نخستین بار حدود ده روز پیش توسط یك محقق امنیتی بر روی لپتاپ مك یكی از اكتیویستهای Angolan در یك كنفرانس حقوق بشر در نروژ كشف شد.
جالبترین جنبه KitM این است كه توسط یك Apple Developer ID معتبر امضا شده است، این شناسه در حقیقت یك گواهینامه امضای كد است كه توسط اپل به شخصی به نام «راجیندر كومار» اعطا شده است.
برنامههای امضا شده توسط یك Apple Developer ID معتبر میتوانند ویژگی امنیتی Gatekeeper در Mac OS X Mountain Lion را دور بزنند. این ویژگی امنیتی منبع فایلها را بررسی میكند تا اطمینان حاصل كند كه خطری برای سیستم ندارند.
دو نمونه نخست KitM كه هفته گذشته كشف شدند به سرورهای دستور و كنترل واقع در هلند و رومانی متصل بودند. محققان شركت امنیتی «نورمن شارك»، نامهای دامنه این سرورها را به زیرساخت حمله یك كمپین جاسوسی سایبری هندی به نام Operation Hangover مرتبط كردند.
روز چهارشنبه محققان F-Secure ویرایشهای دیگری از KitM را كشف كردند. این نمونهها در حملات هدفمند بین ماههای دسامبر و فوریه مورد استفاده قرار گرفته بودند و از طریق ایمیلهای حاوی فایلهای zip منتشر شده بودند.
برخی از پیوستهای خرابكار این ایمیلها عبارت بودند از Christmas_Card.app.zip، Content_for_Article.app.zip، Interview_Venue_and_Questions.zip، Content_of_article_for_[NAME REMOVED].app.zip و Lebenslauf_fur_Praktitkum.zip.
نصب كنندههای KitM كه در فایلهای zip قرار داشتند فایلهای اجرایی هستند، اما آیكونهایی مرتبط با فایلای تصویری، ویدئویی اسناد Adobe PDF و اسناد Microsoft Word دارند. این ترفند معمولاً در بدافزارهای ویندوزی كه از طریق ایمیل منتشر میشوند مشاهده میگردد.
ویرایشهای جدیداً كشف شده KitM نیز توسط همان گواهی راجیندر كومار امضا شدهاند. اپل این شناسه را هفته گذشته پس از كشف اولین نمونهها باطل كرد، ولی این كار به قربانیان فعلی كمكی نمیكند. چراكه اگر بدافزاری یكبار از Gatekeeper عبور كند، پس از آن هرگز توسط Gatekeeper چك نخواهد شد و به كار خود ادامه خواهد داد.
البته اپل میتواند با استفاده از ویژگی محافظت در برابر بدافزار خود به نام XProtect، فایلهای باینری شناخته شده KitM را در لیست سیاه قرار دهد، ولی ویرایشهای شناخته نشده این بدافزار همچنان به كار خود ادامه میدهند.
به گفته محققان F-Secure، كاربران مك برای جلوگیری از اجرای این جاسوسافزار باید تنظیمات امنیتی Gatekeeper را طوری تغییر دهند كه فقط برنامههای دانلود شده از Mac App Store مجوز نصب داشته باشند.
البته این نوع تنظیمات ممكن است برای برخی كاربران كه به نرمافزارهای دیگری نیاز دارند دردسرساز باشد.
کد مطلب: 26307
