شناسایی نسخه جدیدی از بدافزار Shlayer در سیستم عامل مک
محققان امنیتی نسخه جدیدی از بدافزار Shlayer را بر روی سیستم عامل مک شناسایی کرده اند که از طریق نتایج مخرب جستجوهای گوگل، منتشر شده و امکان دور زدن سازوکارهای امنیتی شرکت اپل را دارد.
نسخه جدید این بدافزار، دارای یک فایل آلوده از نوع Apple Disk Image (.dmg) است که به عنوان فایل نصب ادوبی فلش پلیر به کاربر نمایش داده می شود. مهاجمان از این بدافزار معمولاً برای توزیع سایر نرمافزارهای مخرب و آگهیافزارها استفاده میکنند.
روش کار بدافزار Shlayer
عوامل بدافزار Shlayer، در ابتدا فقط کاربران macOS که در وب سایت یوتیوب مشغول جستجوی ویدیوهای مختلف بودند را قربانی حملات خود می کردند. آنها از فنون آلوده کردن نتایج جستجو برای تغییر جهتهای پی در پی کاربر، استفاده کرده و این کار تا زمانی که وی وارد صفحهای شود که در آنجا ادعا میشد نسخه فلش پلیر روی سیستم او به روز نیست ادامه می دادند. سپس کاربر را ترغیب به دانلود و نصب نسخه جدیدی از این برنامه میکردند. نکته قابل توجه اینجا است که این به اصطلاح «به روز رسانی»، در واقع همان فایل .dmg آلوده به تروجانی است که به آن اشاره شد.
در پست وبلاگی Intego که توسط Joshua Long، تحلیلگر ارشد امنیت نوشته شده است، گفته شده که: «هر چند این فایل نصب، دارای آیکون معمولی فلش پلیر بوده و در ظاهر همانند برنامههای کاربردی معمولی مک به نظر میرسد اما در اصل یک اسکریپت مخرب است که برای لحظه ای باز شده و خودش را در نرمافزار Terminal اجرا میکند. با اجرای این اسکریپت، فایلی با پسوند .zip دریافت میشود که حاوی یک پکیج .app معمولی (ولی مخرب) است. پس از نصب این نرمافزار بر روی سیستم کاربر، در یک پوشه مخفی اجرا شده و دیگر از Terminal خارج میشود. تمام این کارها در کمتر از یک ثانیه انجام میشوند».
Long همچنین گفته است که: «وقتی برنامه مک اجرا شود، شروع به دانلود فایل نصب فلش پلیر با امضای ادوبی میکند. در نتیجه به نظر میرسد که کاملاً درست و معتبر است. نرمافزار مک مخفی، به صورتی طراحی شده است که امکان دانلود هر گونه آگهیافزار یا بدافزار مک را بر اساس خواسته مهاجمانی که کنترل آن را از راه دور در اختیار دارند، دارد».
Long استفاده از اسکریپت bash را ایدهای کاملاً جدید میداند که نشان دهنده تلاش مهاجمان برای جلوگیری از شناسایی توسط نرم افزارهای ضدویروس مختلف است. علاوه بر این، در حین فرایند نصب نیز از کاربران خواسته میشود که بر روی فایل نصب جعلی فلش، راست کلیک کرده و دستور “Open” را اجرا کنند. نفوذگران از این روش برای خودداری از دو بار کلیک بر روی فایل نصب جعلی توسط کاربران استفاده کرده اند تا مانع از باز شدن پنجره ای شوند که در آن اعلام شده توسعه دهنده این نرمافزار، مورد تأیید نیست!
در وبلاگ Intego نوشته شده است که عوامل توزیع کننده این نسخه جدید از بدافزار Shlayer، نام “FlashDownloader” را برای خود انتخاب کرده و اطلاعات تماس شان را هم در info@flashdownloader[.]pro درج کرده اند. این وبلاگ همچنین گزارش داده است که این عوامل، مدعی شده اند که یک مرورگر با فیلترشکن داخلی نیز برای سیستم عامل ویندوز تولید کرده اند که نسخه مک آن هم به زودی عرضه خواهد شد.
منبع: scmagazine