یک بدافزار خطرناک، امنیت کاربران مک را تهدید می‌کند

پنج‌شنبه 25 تیر 1405 - 18:35
مطالعه 2 دقیقه
کامپیوتر کوچک اپل
پژوهشگران امنیتی بدافزار جدیدی به نام CrashStealer را در سیستم‌عامل مک شناسایی کرده‌اند.
تبلیغات

کارشناسان امنیتی Jamf Threat Labs درباره‌ی شیوع بدافزار جدیدی در سیستم‌عامل macOS هشدار می‌دهند که خود را به‌جای ابزار گزارش خطای اپل جا می‌زند. این بدافزار که CrashStealer نام دارد، با هدف سرقت اطلاعات حساس کاربران ازجمله داده‌های مرورگر، کیف پول‌های دیجیتال و رمز عبور طراحی شده است.

برنامه‌ی مخرب نخستین‌بار در قالب یک نرم‌افزار جعلی تاییدشده توسط اپل به نام Werkbit مشاهده شد. تأیید اولیه‌ی این برنامه توسط سیستم امنیتی اپل سبب شد تا ابزار امنیتی گیت‌کیپر مانع از اجرای آن نشود.

کرش‌استیلر بیش از ۸۰ افزونه‌ی کیف پول رمزارز و ۱۴ برنامه‌ی مدیریت رمز عبور مانند 1Password و لست‌پَس و دش‌لین را هدف قرار می‌دهد و پوشه‌های دانلود و اسناد کاربر را برای یافتن اطلاعات ارزشمند جست‌وجو می‌کند.

برنامه‌ی مخرب یادشده پس از نصب، ابزار جعلی CrashReporter.app را دانلود می‌کند تا فرآیند گزارش خطای خود سیستم‌عامل را شبیه‌سازی کند. این نرم‌افزار برای دسترسی کامل به دیسک درخواست مجوز می‌کند و با نمایش یک پنجره‌ی دریافت رمز عبور کاملا مشابه با رابط کاربری بومی سیستم‌عامل، رمز عبور اصلی کاربر را به دست می‌آورد. داده‌های سرقت‌شده با استفاده از کتابخانه‌ی بومی اپل و الگوریتم AES-256-GCM رمزگذاری می‌شوند و به سرور مهاجمان انتقال می‌یابند.

کارشناسان Jamf Threat Labs اعلام کردند که توسعه‌دهندگان این ابزار مخرب دقت بالایی در پنهان‌کاری به خرج داده‌اند: «روش پیاده‌سازی CrashStealer نشان‌دهنده‌ی توجه ویژه‌ی سازندگانش به جزییات است و مراحل پنهان‌کاری، این بدافزار را از ابزارهای معمولی سرقت اطلاعات متمایز می‌کند.»

اپل پس از دریافت گزارش‌های مربوط به این تهدید گواهی امضای برنامه‌ی Werkbit را باطل کرد تا مسیر اصلی این حمله‌ی خاص مسدود شود. با این حال، کارشناسان هشدار می‌دهند که احتمال ظهور دوباره‌ی بدافزار با روش‌های جدید وجود دارد.

کاربران برای محافظت از سیستم‌های خود باید توجه داشته باشند که ابزار گزارش خطای اپل به‌صورت پیش‌فرض در سیستم‌عامل وجود دارد و هرگونه درخواست دانلود مجدد یا تقاضای ناگهانی رمز عبور سیستم در بدو اجرای برنامه‌ها، نشانه‌ی فعالیت مخرب است.

نظرات

از دیگر اعضاء خانواده قلم