کاربران مک در دام یک بدافزار جدید‎

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

q215

 

بدافزاری جدیدی شناسایی شده است که سیستم‌عامل مک را هدف گرفته‌است و در صورت آلودگی به آن، تنها راه رهایی، پاک کردن کامل سیستم‌عامل و نصب مجدد آن است.

به گزارش كارشناسان شركت دژپاد، بدافزار جدیدی با نام پروتون کاربران مک را هدف گرفته است. در صورت آلودگی به پروتون کاربران راهی جز حذف سیستم عامل و نصب مجدد آن ندارد.

پروتون از راه نرم‌افزارهای قانونی توزیع می‌شده‌است. ازجمله نرم‌افزار‌های حامل این بدافزار پخش‌کننده‌ چندرسانه‌ای Elmedia و نرم‌افزار مدیریت بارگیری (Download Manager) محبوب Flox هستند که هر دو آلوده به بدافزار OSX.Proton بوده‌اند و این آلودگی توسط توسعه‌دهندگان این نرم‌افزارها تایید شده‌است. در واقع آخرین نسخه‌ این‌ نرم‌افزارها آلوده به بدافزار بوده‌است.

بدافزار پروتون، یک نرم‌افزار مدیریت از راه دور یا RAT است که سال گذشته در انجمن‌های زیرزمینی برای فروش عرضه شده‌بود. کد آلوده ویژگی‌های زیادی دارد، اجرای فرمان‌های مربوط به کنسول، دسترسی به وب‌کم کاربر، ضبطِ کلید‌های فشرده‌شده در صفحه‌کلید، ضبطِ تصاویری از صفحه نمایش و همچنین توانایی ایجاد ارتباط راه دور SSH یا VNC ازجمله توانمندی‌های این بدافزار است.

این بدافزار می‌تواند با تزریق کد آلوده به مرورگر کاربر، منجر به باز شدن پنجره‌هایی در مرورگر شود که از کاربر اطلاعات کارت بانکی یا سایر اطلاعات ورود به حسا‌ب‌های کاربری را درخواست می‌کنند و اگر کاربر از این مسئله آگاه نباشد ممکن است به راحتی اطلاعات خود را در اختیار مهاجمان قرار دهد.

همچنین بدافزار پروتون می‌تواند به حساب‌های کاربری iCloud نفوذ کند، حتی اگر احراز هویت دو مرحله‌ای فعال شده‌باشد. در ماه مارس 2017، قیمت پیشنهادی این بدافزار ۵۰ هزار دلار بود.

پژوهشگران آزمایشگاه ای‌سِت (ESET) این بدافزار را شناسایی کرده‌اند و گزارش داده‌اند که بدافزار در زنجیره‌ توزیع نرم‌افزارهای قانونی مشاهده شده‌است. در واقع در چند ساعت گذشته مشاهده شده‌است که وب‌‌سایت Elmedia در حال توزیع این بدافزار در وب‌سایت اصلی خود بوده‌است که با اطلاع‌رسانی پژوهشگران ای‌سِت، این بدافزار از وب‌‌سایت آنها حذف شده‌است.

کاربران مک می‌توانند با بررسی چهار مسیر زیر در سیستم‌عامل خود آلودگی به این بدافزار را بررسی کنند. اگر هریک این پرونده‌ها در سیستم کاربر موجود باشد یعنی سیستم عامل گرفتار این‌ آلودگی شده‌است و در صورت آلودگی تنها راه خلاصی از این بدافزار، نصب مجدد سیستم‌عامل است:
/tmp/Updater.app/
/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
/Library/.rand/
/Library/.rand/updateragent.app/