خبر

شناسایی نسخه جدیدی از بدافزار Shlayer در سیستم عامل مک

محققان امنیتی نسخه‌ جدیدی از بدافزار Shlayer را بر روی سیستم عامل مک شناسایی کرده اند که از طریق نتایج مخرب جستجوهای گوگل، منتشر شده و امکان دور زدن سازوکارهای امنیتی شرکت اپل را دارد.

نسخه جدید این بدافزار، دارای یک فایل آلوده از نوع Apple Disk Image (.dmg) است که به عنوان فایل نصب ادوبی فلش پلیر به کاربر نمایش داده می شود. مهاجمان از این بدافزار معمولاً برای توزیع سایر نرم‌افزارهای مخرب و آگهی‌افزارها استفاده می‌کنند.

 

روش کار بدافزار Shlayer

عوامل بدافزار Shlayer، در ابتدا فقط کاربران macOS که در وب سایت یوتیوب مشغول جستجوی ویدیوهای مختلف بودند را قربانی حملات خود می کردند. آنها از فنون آلوده کردن نتایج جستجو برای تغییر جهت‌های پی در پی کاربر، استفاده کرده و این کار تا زمانی که وی وارد صفحه‌ای شود که در آنجا ادعا می‌شد نسخه فلش پلیر روی سیستم او به روز نیست ادامه می دادند. سپس کاربر را ترغیب به دانلود و نصب نسخه جدیدی از این برنامه می‌کردند. نکته قابل توجه اینجا است که این به اصطلاح «به روز رسانی»، در واقع همان فایل .dmg آلوده به تروجانی است که به آن اشاره شد.

در پست وبلاگی Intego که توسط Joshua Long، تحلیلگر ارشد امنیت نوشته شده است، گفته شده که: «هر چند این فایل نصب، دارای آیکون معمولی فلش پلیر بوده و در ظاهر همانند برنامه‌های کاربردی معمولی مک به نظر می‌رسد اما در اصل یک اسکریپت مخرب است که برای لحظه ای باز شده و خودش را در نرم‌افزار Terminal اجرا می‌کند. با اجرای این اسکریپت، فایلی با پسوند .zip دریافت می‌شود که حاوی یک پکیج .app معمولی (ولی مخرب) است. پس از نصب این نرم‌افزار بر روی سیستم کاربر، در یک پوشه مخفی اجرا شده و دیگر از Terminal خارج می‌شود. تمام این کارها در کمتر از یک ثانیه انجام می‌شوند».

Long همچنین گفته است که: «وقتی برنامه مک اجرا شود، شروع به دانلود فایل نصب فلش پلیر با امضای ادوبی می‌کند. در نتیجه به نظر می‌رسد که کاملاً درست و معتبر است. نرم‌افزار مک مخفی، به صورتی طراحی شده است که امکان دانلود هر گونه آگهی‌افزار یا بدافزار مک را بر اساس خواسته مهاجمانی که کنترل آن را از راه دور در اختیار دارند، دارد».

Long استفاده از اسکریپت bash را ایده‌ای کاملاً جدید می‌داند که نشان دهنده تلاش مهاجمان برای جلوگیری از شناسایی توسط نرم افزارهای ضدویروس مختلف است. علاوه بر این، در حین فرایند نصب نیز از کاربران خواسته می‌شود که بر روی فایل نصب جعلی فلش، راست کلیک کرده و دستور “Open” را اجرا کنند. نفوذگران از این روش برای خودداری از دو بار کلیک بر روی فایل نصب جعلی توسط کاربران استفاده کرده اند تا مانع از باز شدن پنجره ای شوند که در آن اعلام شده توسعه دهنده این نرم‌افزار، مورد تأیید نیست!

در وبلاگ Intego نوشته شده است که عوامل توزیع کننده این نسخه جدید از بدافزار Shlayer، نام “FlashDownloader” را برای خود انتخاب کرده و اطلاعات تماس شان را هم در info@flashdownloader[.]pro درج کرده اند. این وبلاگ همچنین گزارش داده است که این عوامل، مدعی شده اند که یک مرورگر با فیلترشکن داخلی نیز برای سیستم عامل ویندوز تولید کرده اند که نسخه مک آن هم به زودی عرضه خواهد شد.

 

منبع: scmagazine

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دو × دو =

دکمه بازگشت به بالا