کشف بدافزار macOS با قابلیت سرقت DNS و دسترسی به فایل ها

در سال 2011 بود که تروجانی به نام «DNSChange» توانسته بود 4 میلیون کامپیوتر را آلوده کند. حالا نمونه جدیدی از سوء استفاده به واسطه سرقت DNS (سیستم نام دامنه) به نام «OSX/MaMi» یافت شده که می تواند سیستم عامل مک او اس اپل را هدف قرار دهد.

OSX/MaMi چطور کامپیوتر ها را آلوده می کند؟

ابتدا اشاره می کنیم که DNS سیستمی سلسله مراتبی برای نام گذاری کامپیوترها یا سرویس‌ها است که به واسطه آن وقتی کاربر می خواهد وارد وب سایتی شود، آدرس IP معادل با آدرس وارد شده توسط سرورهای DNS پیدا می شود و بدین ترتیب سایت برای کاربر نمایش داده می شود.

حال اگر آدرس های DNS موجود در کامپیوتر کاربر به نمونه های جعلی تغییر داده شود، به عنوان نمونه وقتی کاربر درخواست باز کردن سایت گوگل را می دهد، به صورت جعلی به سایت دیگری هدایت می شود که این مسئله می تواند سوء استفاده هایی از او را به دنبال داشته باشد.

بد افزار جدید نیز با تغییر آدرس سرورهای DNS در کامپیوتر کاربر ترافیک درخواست های او را به سرورهای جعلی مورد نظر خود هدایت می کنند تا اطلاعات او را به سرقت ببرد.

کارکردهای این بد افزار چگونه کشف شد؟

اولین بار خبرهای مربوط به این بدافزار در انجمن مرتبط با نرم افزار امنیتی «Malwarebytes» مطرح شد. در این انجمن از «پاتریک واردِل»، هکر سابق سازمان امنیت ملی آمریکا (NSA) درخواست شد که نگاهی به آن بیندازد. واردل در ابتدا دریافت که این بدافزار یک سرقت کننده DNS است که می تواند دسترسی روت (حداکثر دسترسی مجاز در سیستم عامل) داشته باشد و تمامی اطلاعات رمز نگاری شده را به سرقت ببرد.

OSX/MaMi می تواند موجب حملات مرد میانی یا وارد کردن اسکریپت های استخراج کننده ارز مجازی شود

واردل در این مورد اعلام کرده که بد افزار OSX/MaMi علی رغم اینکه به طور ویژه ای پیشرفته نیست، ولی می تواند سیستم های آلوده را به طرزی نامطلوب و ماندگار آلوده کند. او در این مورد گفته که با نصب کردن گواهی روت و عوض کردن آدرس های DNS مهاجمان می توانند کارهای شرورانه بسیاری از جمله «حمله مرد میانی» (به منظور دزدی اعتبار نامه ها یا تزریق کردن تبلیغات درآمد زا) یا وارد کردن اسکریپت های ویژه ای برای استخراج ارزهای مجازی توسط کامپیوتر کاربران را انجام دهند.

لازم است اشاره کنیم که در حمله مرد میانی حمله کننده اتصالات مستقلی را با قربانیان برقرار می نماید و پیام‌های مابین آن‌ها را شنود می‌ کند، بدون اینکه دو طرف پی به این مسئله ببرند.

OSX/MaMi چه فعالیت های مخرب دیگری را می تواند انجام دهد؟

علاوه بر این موارد OSX/MaMi می تواند به نحوی فعالیت های خود را گسترش دهد که امکان سوء استفاده های زیر را فراهم کند:

  • گرفتن اسکرین شاپ
  • ایجاد حرکات شبیه سازی شده ماوس
  • احتمالاً اجرای برنامه های خاص
  • دانلود یا آپلود فایل ها
  • اجرای دستورات

بدافزار جدید چگونه منتشر می شود؟

البته هنوز بسیاری موارد دیگر در مورد این بد افزار وجود دارد که باید درک شود. به عنوان نمونه هنوز مشخص نیست که چطور بین کامپیوترها انتشار پیدا می کند. به نظر می رسد از روش های ابتدایی از قبیل ارسال ایمیل های آلوده یا نمایش پاپ آپ های امنیتی تقلبی اقدام به آلوده سازی نماید.

چگونه از آلودگی سیستم عامل خود مطلع شویم؟

برای اینکه اطمینان حاصل کنید آیا کامپیوتر شما آلوده شده است، می توانید از روش زیر اقدام نمایید:

  • بخش «System Preferences» را اجرا نمایید.
  • به منوی «Network» بروید و گزینه «Advanced» را انتخاب کنید.
  • سپس به منوی «DNS» وارد شوید.
  • در این قسمت بررسی کنید که آدرس ها به «82.163.143.135» یا «82.163.142.137» تغییر پیدا نکرده باشند.
از بین 59 نرم افزار ضد ویروس مطرح هیچ کدام قادر به شناسایی آن نیستند

نکته بدتر اینکه هنوز نرم افزار های ضد ویروس قابلیت تشخیص این بدافزار را ندارند. بر اساس گزارش وب سایت «VirusTotal» تمامی 59 آنتی ویروس مطرح، OSX/MaMi را فایلی سالم و فاقد هرگونه ویروس تشخیص می دهند. البته واردل نیز یک فایروال کد منبع باز را برای سیستم عامل مک او اس به نام «Lulu» توسعه داده که می تواند از سرقت اطلاعات توسط بدافزار یاد شده جلو گیری کند. اطلاعات بیشتر در این مورد را می توانید از اینجا دریافت کنید.

مطالب مرتبط

تپسی: امنیت سفرها از اولویت‌های اصلی ماست

معاون عملیات تپسی، تامین امنیت سفرهای شهری را یکی از اصلی‌ترین اولویت‌های‌ این شرکت معرفی و تاکید کرد با توجه به اهمیت امنیت کاربران، سرمایه گذاری زیادی در این حوزه انجام شده و گزینه‌های امنیتی مختلفی برای مردم فراهم شده است.«هومن دمیرچی» با اشاره به نحوه جذب رانندگان تپسی تصریح کرده که تایید صلاحیت رانندگان... ادامه مطلب

هشدار کارشناسان درباره جاسوسی از ترافیک اینترنت ماهواره‌ای با تجهیزات ساده

آسیب‌پذیری‌های امنیتی در ارتباطات پهن‌باند ماهواره‌ای به مهاجمان اجازه می‌دهند که تنها با تجهیزات خانگی چند صد دلاری از ترافیک اینترنت ماهواره‌ای جاسوسی کنند.هکرها با سوءاستفاده از این آسیب‌پذیری‌ها می‌توانند بدون خطر شناسایی شدن، هزاران کیلومتر دورتر از اهداف خود از آن‌ها جاسوسی کنند. اخیرا یک محقق امنیت سایبری در دانشگاه آکسفورد، «جیمز پاور» نحوه... ادامه مطلب

باگ امنیتی ویندوز امکان نفوذ به پرینتر را فراهم می‌کند

اخیرا یک باگ امنیتی در ویندوز شناسایی شده که روی پرینتر تاثیر می‌گذارد. مایکروسافت اعلام کرده که با انتشار یک پچ امنیتی این مشکل را برطرف خواهد کرد.محققان توانسته‌اند پچ‌های امنیتی را دور بزنند و از این باگ سوءاستفاده کنند که نتیجه آن، امکان نفوذ به هر یک از دستگاه‌های پرینت و کنترل شبکه خصوصی... ادامه مطلب

FBI مدعی حمله هکرهای ایرانی به تجهیزات شبکه F5 شد

FBI اخیرا ادعا کرده گروهی از هکرهای منتسب به ایران به بخش‌های خصوصی و دولتی ایالات متحده آمریکا حمله کرده‌اند.در حالی FBI چنین ادعایی را مطرح کرده که نام این هکرهای ایرانی را مشخص نکرده، البته منابع به اسم رمز این گروه، «Fox Kitten» یا «Parasite» اشاره کرده‌اند. یکی از تحلیلگران سابق دولت ایالات متحده... ادامه مطلب

کد وب‌سایت Have I Been Pwned اپن‌سورس می‌شود

تروی هانت مؤسس وب‌سایت Have I Been Pwned اعلام کرد مجموعه کدهای مورد استفاده در این سایت را به‌شکل اپن‌سورس منتشر می‌کند تا این پروژه سودمند با سرعت بیشتری رشد کرده و در اختیار همه قرار بگیرد.این روزها همه می‌دانیم سهل‌انگاری در مورد مسائل امنیتی، دیر یا زود رمز عبور و اطلاعات شخصی ما را... ادامه مطلب

هک بیش از ۷۰ ساب‌ردیت معروف توسط طرفداران ترامپ

هکرها در حمله‌ای هماهنگ شده حداقل ۷۰ ساب ردیت پربازدید را هک کرده و در آنها تصاویر و مطالبی در حمایت از کمپین انتخاباتی دونالد ترامپ ارسال کردند.روز جمعه چندین صفحه از سایت ردیت که با نام ساب‌ردیت (Subreddit) شناخته می‌شوند مورد حمله هکرها قرار گرفتند. ساب ردیت‌های پرطرفدار با فالوورهای بیش از یک میلیون... ادامه مطلب

ویجیاتو

نظرات ۱

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟