بدافزار OS X موسوم به Keydnap محققان امنیتی را هدف قرار دادهاست تا از طریق شبکه Tor اقدام به ایجاد یک در مخفی دائم کند.
بدافزار OS X موسوم به Keydnap محققان امنیتی را هدف قرار دادهاست تا از طریق شبکه Tor اقدام به ایجاد یک در مخفی دائم کند.
بدافزار جدیدی که کاربران مک را هدف میگیرد از سوی محققان امنیتی کشف شد. این بدافزار سیستم عامل OS X که Keydnap نام گرفته است، اعتبارنامههای Keychain را سرقت کرده و در مخفی دائمی را در سیستمهای آلودهشده باز میکند. از قضا هدف این بدافزار، حمله به متخصصان امنیتی و کاربران تالارهای گفتگوی زیرزمینی است.
بهاستناد گفتههای محققان امنیتی ESET، ابتدا نسخه ۱.۳.۱ این بدافزار و سپس نسخه ۱.۳.۵ آن به ترتیب در ماههای می و ژوئن کشف شدهاست. اگرچه نحوه توزیع این بدافزار هنوز بهطور دقیق مشخص نیست، اما محققان امنیتی حدس میزنند که پخش Keydnap از طریق کمپین هرزنامه یا دانلود از وبسایتهای نامطمئن صورت گرفتهاست.
این بدافزار که بهعنوان بخشی از یک فایل zip نشده همراه با یک فضای مخفی در افزونه فایل ظاهر میشود، درصورتیکه دانلود شود شروع به اجرا شدن در پایانه مک میکند. این فایل zip نشده که Mach O نام دارد با استفاده از یک آیکن جعلی در مخفی Keydnap را نصب میکند که این در مخفی به نوبه خود برای بهدست آوردن امتیاز دسترسی ریشهای وارد عمل میشود و در کنار آن تلاش میکند از طریق تظاهر به pop-up بودن، امتیازات دسترسی مدیریتی را نیز از آن خود کند.
بدافزار Keydnap قادر است ضمن دانلود و اجرای فایلها از URL از راه دور ، ارتقای در مخفی به نسخههای بالاتر و دانلود و اجرای اسکریپتهای Python ، دستورات shell را نیز اجرا کند.
به گفته Marc-Etienne M Leveille محقق امنیتی ESET، در مخفی OSX/Keydnap مجهز به مکانیسمی است که بهواسطه آن میتواند گذرواژهها و کلیدهای ذخیرهشده در keychain سیستم عامل OS X را جمعآوری و استخراج کند.
برنامهنویس این بدافزار برای اثبات ادعای خود نمونهای را در Github با نام Keychaindump قرار دادهاست. این بدافزار با استفاده از پروکسی onion.to Tor۲Web میکوشد از طریق وبسایت Tor، محتوای keychain مک را با کمک پروتکل HTTPS برای سرور C&C ارسال کند.
وجود ۲ سرور فعال C&C و آنالیز تصاویر فریبنده بهکارگرفته شده از سوی Keydnap بیانگر آن است که احتمالاً این بدافزار بهدنبال هدف قرار دادن محققان امنیتی و کاربران تالارهای گفتگوی زیرزمینی است.
متأسفانه تا این لحظه اطلاعات جامع و کاملی در مورد روشهای توزیع این بدافزار و تعداد قربانیان آلودهشده به آن بهدست نیامدهاست.
اگرچه مکانیسمهای امنیتی متعددی در OS X برای کاهش خطر بدافزار وجود دارد، اما هنوز هم میتوان با جایگزینی آیکن فایل Mach-O ، کاربران را برای اجرای کد مخرب sandbox نشده اغفالکرد.