هشدارهای افتایی
بسیاری بر این باورند که آلودگی به بدافزار صرفاً محدود به دستگاه‌های با سیستم عامل Windows بوده و هیچ بدافزاری سیستم‌های مبتنی بر macOS را تهدید نمی‌کند. این در حالی است که یافته‌های اخیر محققان کسپرسکی نشان می‌دهد که یکی از بدافزارهای تحت macOS با نام Shlayer بر روی حداقل 10 درصد از دستگاه‌های مجهز به ضدویروس آن شرکت شناسایی شده است.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer، مهاجمان Shlayer نه با اجرای حملات فیشینگ و نه با استفاده از بدافزارهای دیگر که با هدایت کاربران به سایت‌های جعلی در ظاهر حاوی اخبار جذاب یا فیلم‌های معروف به آلوده‌سازی دستگاه آنها به این تروجان اقدام می‌کنند.
شهرت این سایت‌ها به حدی است که بر اساس گزارش کسپرسکی از هر 10 دستگاه با سیستم عامل macOS یکی از آنها حداقل یکبار مورد حمله تروجان Shlayer قرار گرفته و در گزارش مذکور آمده که شناسایی Shlayer،30  درصد از کل شناسایی‌های تحت این سیستم عامل را تشکیل داده است.
کاربران دستگاه‌های اپل از طریق نتایج نمایش داده شده در موتورهای جستجوگر، لینک‌ها جاسازی شدن در ویدئوهای YouTube و حتی لینک‌هایی در مقالات Wikipedia به سایت‌های جعلی گردانندگان Shlayer هدایت می‌شوند. با باز شدن سایت جعلی، بجای نمایش یافتن فیلمی که سایت مدعی میزبانی آن است در پیامی دروغین از کاربر خواسته می‌شود که ابتدا با کلیک بر روی دگمه مربوطه نرم‌افزار Flash Player خود را به‌روز کند.
این به‌روزرسانی Flash Player، در حقیقت فایل مخربی است که با اجرای آن توسط کاربر فریب‌خورده دستگاه به تروجان Shlayer آلوده می‌شود.
با اجرای فایل مخرب اینطور تظاهر می‌شود که به‌روزرسانی Flash Player در حال انجام بوده و حتی در پنجره‌ای مشابه با تصویر زیر به قربانی پیشنهاد می‌شود که همزمان با به‌روزرسانی، برنامه‌ای را نیز که در پیام دروغین از آن با عنوان BlueStacks App Player یاد شده نصب کند.

 

صرف‌نظر از انتخاب هر یک از دکمه‌های Skip یا Next توسط کاربر، بدافزار ابتدا اقدام به نصب یک افزونه در مرورگر Safari می‌کند تا از این طریق نتایج جستجوها و فعالیت‌های انجام شده توسط کاربر در مرورگر را رصد کرده و او را به موتورهای جستجوگر دیگر هدایت کند. این افزونه بدون اجازه کاربر و در حقیقت با مجوز کلیک انجام شده بر روی پنجره دروغین بالا که پیام اصلی macOS در پس آن پوشانده شده است نصب می‌شود.
 
 

سپس پراکسی mitmdump، تحت نام SearchSkilledData بر روی دستگاه اجرا شده و در جریان آن یک گواهینامه مورد اعتماد (Trusted Certificate) نصب می‌شود تا با استفاده از آن ترافیک HTTPS توسط بدافزار تحلیل و مورد دستکاری قرار بگیرد. مرورگر در ادامه به نحوی پیکربندی می‌شود که تمامی ترافیک آن از طریق این پراکسی تبادل شود.
 
 

با این رویکرد، بدافزار قادر به جاسازی تبلیغات ناخواسته در هر صفحه اینترنتی فراخوانی شده توسط کاربر، رصد ترافیک مرورگر و تزریق اسکریپت در سایت‌های باز شده در مرورگر خواهد بود.
مکانیزم پیاده‌سازی شده توسط مهاجمان Shlayer، رصد و اعمال تغییر را نه فقط در سایت‌های عادی که در ترافیک رمزگذاری شده امن مبتنی بر HTTPS که برای تبادل داده‌های حساسی همچون اطلاعات بانکی و اطلاعات اصالت‌سنجی مورد استفاده می‌گیرد ممکن می‌کند.
دامنه فعالیت Shlayer جهانی گزارش شده و آمریکا و آلمان به ترتیب با 31 و 14 درصد از کل آلودگی‌ها بیشترین سهم را به خود اختصاص داده‌اند.
استفاده از ضدویروس قدرتمند و به‌روز و پرهیز از کلیک بر روی لینک‌های ناآشنا اصلی‌ترین راهکار در ایمن ماندن از گزند این نوع بدافزارهاست.

نشانه‌های آلودگی  (IoC):
هش:
•    4d86ae25913374cfcb80a8d798b9016e
•    fa124ed3905a9075517f497531779f92
•    594aa050742406db04a8e07b5d247cdd
آدرس اینترنتی:
•    hxxp://80.82.77.84/.dmg
•    hxxp://sci-hub[.]tv
•    hxxp://kodak-world[.]com
•    hxxp://api.typicalarchive[.]com
•    hxxp://api.entrycache[.]com
•    hxxp://api.macsmoments[.]com

منابع:
(با سپاس از شرکت مهندسی شبکه گستر در تهیه این گزارش )

 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.