بدافزار Keydnap محققان امنیتی را هدف قرار داده‌است

بدافزار OS X موسوم به Keydnap  محققان امنیتی را هدف قرار داده‌است تا از طریق شبکه  Tor اقدام به ایجاد یک در مخفی دائم کند.

بدافزار جدیدی که کاربران مک را هدف می‌گیرد از سوی محققان امنیتی کشف شد. این بدافزار سیستم عامل OS X که Keydnap نام گرفته است، اعتبارنامه‌های Keychain را سرقت کرده و در مخفی دائمی را در سیستم‌های آلوده‌شده باز می‌کند. از قضا هدف این بدافزار، حمله به متخصصان امنیتی و کاربران تالارهای گفتگوی زیرزمینی است. 

به‌استناد گفته‌های محققان امنیتی ESET، ابتدا نسخه ۱.۳.۱ این بدافزار و سپس نسخه  ۱.۳.۵ آن به ترتیب در ماه‌های می و ژوئن کشف شده‌است. اگرچه نحوه توزیع این بدافزار هنوز به‌طور دقیق مشخص نیست، اما محققان امنیتی حدس می‌زنند که پخش Keydnap از طریق کمپین هرزنامه یا دانلود از وب‌سایت‌های نامطمئن صورت گرفته‌است. 

این بدافزار که به‌عنوان بخشی از یک فایل zip نشده همراه با یک فضای مخفی در افزونه فایل ظاهر می‌شود، درصورتی‌که دانلود شود شروع به اجرا شدن در پایانه مک می‌کند. این فایل zip نشده که Mach O نام دارد با استفاده از یک آیکن جعلی در مخفی Keydnap را نصب می‌کند که این در مخفی به نوبه خود برای به‌دست آوردن امتیاز دسترسی ریشه‌ای وارد عمل می‌شود و در کنار آن تلاش می‌کند از طریق تظاهر به pop-up بودن، امتیازات دسترسی مدیریتی را نیز از آن خود کند. 

بدافزار Keydnap قادر است ضمن دانلود و اجرای فایل‌ها از URL از راه دور ، ارتقای در مخفی به نسخه‌های بالاتر و دانلود و اجرای اسکریپت‌های Python ، دستورات shell را نیز اجرا کند. 

به گفته Marc-Etienne M Leveille محقق امنیتی ESET، در مخفی OSX/Keydnap مجهز به مکانیسمی است که به‌واسطه آن می‌تواند گذرواژه‌ها و کلیدهای ذخیره‌شده در keychain سیستم عامل OS X را جمع‌آوری و استخراج کند. 

برنامه‌نویس این بدافزار برای اثبات ادعای خود نمونه‌ای را در Github با نام Keychaindump قرار داده‌است. این بدافزار با استفاده از پروکسی onion.to Tor۲Web می‌کوشد از طریق وب‌سایت Tor، محتوای keychain مک را با کمک پروتکل HTTPS برای سرور C&C ارسال کند. 

وجود ۲ سرور فعال C&C و آنالیز تصاویر فریبنده به‌کارگرفته شده از سوی Keydnap بیانگر آن است که احتمالاً این بدافزار به‌دنبال هدف قرار دادن محققان امنیتی و کاربران تالارهای گفتگوی زیرزمینی است. 

متأسفانه تا این لحظه اطلاعات جامع و کاملی در مورد روش‌های توزیع این بدافزار و تعداد قربانیان آلوده‌شده به آن به‌دست نیامده‌است. 

اگرچه مکانیسم‌های امنیتی متعددی در OS X برای کاهش خطر بدافزار وجود دارد، اما هنوز هم می‌توان با جایگزینی آیکن فایل Mach-O ، کاربران را برای اجرای کد مخرب sandbox نشده اغفال‌کرد.

منبع:پاپسا