به نقل از TrendMicro، به تازگی چندین فایل EXE کشف شده است که با بارگذاری payloadهای مخرب، مکانیزمهای حفاظتی داخلی مک مانند Gatekeeper را لغو میکند. این فرآیند از دید Gatekeeper پنهان میماند، زیرا فایل EXE توسط این نرمافزار بررسی نمیشود، در نتیجه از بررسی کد شناسه و تأیید صلاحیت نیز مصون خواهد بود، بدلیل اینکه این تکنولوژی تنها فایلهای مک را بررسی میکند. در حالی که هیچ الگوی حمله خاصی دیده نشده، بیشترین تعداد آلودگی در انگلستان، استرالیا، ارمنستان، لوکزامبورگ، آفریقای جنوبی و ایالات متحده مشاهده شده است.
نمونه بررسی شده، در ابزار نصب یک برنامه دیوارآتش محبوب برای مک و ویندوز به نام Little Snitch است که از وبسایتهای مختلف تورنت قابل دانلود است. نام فایلهای اجرایی .NET کامپایل شدهی ویندوز عبارتند از :
• Paragon_NTFS_for_Mac_OS_Sierra_Fully_Activated.zip
• Wondershare_Filmora_۹۲۴_Patched_Mac_OSX_X.zip
• LennarDigital_Sylenth۱_VSTi_AU_v۳_۲۰۳_MAC_OSX.zip
• Sylenth۱_v۳۳۱_Purple_Skin__Sound_Radix_۳۲Lives_v۱۰۹.zip
• TORRENTINSTANT.COM+-+Traktor_Pro_۲_for_MAC_v۳۲۱.zip
• Little_Snitch_۵۸۳_MAC_OS_X.zip
فایل ZIP. که دانلود و استخراج میشود، حاوی یک فایل DMG. است که میزبان ابزار نصبLittle Snitch است. با بررسی محتویات ابزار نصب، یک فایل EXE. در داخل نرمافزار، به عنوان یک فایل اجرایی ویندوز و مسئول بارگیری محتوای مخرب، مشاهده شده است. هنگامی که ابزار نصب اجرا میشود، فایل اصلی اجراکننده آن توسط فریمورک mono موجود در بسته نرمافزاری فعال میشود. این فریمورک اجازه اجرای برنامههای Microsoft .NET مانند OSX را در سراسر پلفترم میدهد.
پس از اجرا، بدافزار شروع به جمعآوری اصلاعات حساس مانند جزییات فرآیندهای پردازشی و اصلاعات حافظه میکند. در پوشه /Application، بدافزار به دنبال تمام برنامههای پیشفرض و نصبشده میگردد و تمام اطلاعات حاصل را به سرور C&C ارسال میکند.
این بدافزار به طور خاص برای هدف قراردادن کاربران Mac طراحی شدهاست. اجرای این نمونه در ویندوز منجر به نمایش پیغام خطا خواهدشد.
در حال حاضر، اجرای فایل EXE در سیستمعاملهای دیگر ممکن است اثر بزرگتری در سیستمهای غیرویندوز مانند MacOS بهجا بگذارد. به طورمعمول، یک فریمورک mono نصبشده در سیستم برای کامپایل یا بارگذاری فایلهای اجرایی و کتابخانهها لازم است. با این حال، در این مورد، تجمیع فایلها با فریمورک ذکرشده میتواند باعث دورزدن ویژگیهای امنیتی MacOS و عدم تشخیص این فایل توسط آنها شد.
کاربران باید از دانلود فایلها، برنامهها و نرمافزارها از منابع و وبسایتهای تایید نشده خودداری کنند و یک سامانهی حفاظتی چندلایه برای سیستمهای شخصی و سازمانی خود نصب کنند.
نشانههای آلودگی (IOC):
SHA۲۵۶ | فایل |
c۸۷d۸۵۸c۴۷۶f۸fa۹ac۵b۵f۶۸c۴۸dff۸efe۳cee۴d۲۴ab۱۱aebeec۷۰۶۶b۵۵cbc۵۳ | setup.dmg |
۹۳۲d۶adbc۶a۲d۸aa۵ead۵f۷۲۰۶۵۱۱۷۸۹۲۷۶e۲۴c۳۷۱۰۰۲۸۳۹۲۶bd۲ce۶۱e۸۴۰۰۴۵ | Installer.exe |
۵۸cba۳۸۲d۳e۹۲۳e۴۵۰۳۲۱۷۰۴eb۹b۰۹f۴a۶be۰۰۸۱۸۹a۳۰c۳۷eca۸ed۴۲f۲fa۷۷af | OSX۶۴_MACSEARCH.MSGL۵۱۷ |
۳cbb۳e۶۱bf۷۴۷۲۶ec۴c۰d۲b۹۷۲dd۰۶۳ff۱۲۶b۸۶d۹۳۰f۹۰f۴۸f۱۳۰۸۷۳۶cf۴db۳e | chs۲ |
e۱۳c۹ab۵۰۶۰۰۶۱ad۲e۶۹۳f۳۴۲۷۹c۱b۱۳۹۰e۶۹۷۷a۴۰۴۰۴۱۱۷۸۰۲۵۳۷۳a۷c۷ed۰۸a | Installer (۲) |
b۳۱bf۰da۳ad۷cbd۹۲ec۳e۷cfe۶۵۰۱bea۲۵۰۸c۳۹۱۵۸۲۷a۷۰b۲۷e۹b۴۷ffa۸۹c۵۲e | macsearch |
انتهای پیام/