کشف فایل اجرایی مخرب که برای سیستم های مک طراحی شده

شرکت امنیتی ترند میکرو اخیرا گزارشی را در رابطه با روش جدید مورد استفاده هکرها برای دور زدن قابلیت امنیتی Gatekeeper در macOS منتشر کرده که امکان بکارگیری فایل اجرایی مخرب حاوی بدافزار را در کامپیوترهای مک قربانیان فراهم می کند.

کشف این فایل اجرایی مخرب حین تحلیل اپلیکیشن فایروال Little Snitch اتفاق افتاد که هم اکنون به صورت فایل تورنت قابل دسترس است. محققان باور دارند که هکرها همچنان مشغول مطالعه این بدافزار و راه هایی هستند که میشود از آن استفاده نمود.

در نظر داشته باشید که کاربران مک قادر به نصب فایل های EXE (همان فرمت قابل اجرا در محیط ویندوز) نیستند، در نتیجه اگر در محیط macOS تلاش به نصب این گونه فایل ها کنند با پیام خطا روبرو می شوند. حالا به نظر می رسد که هکرها راهی برای باز کردن این فایل اجرایی مخرب در سیستم عامل macOS و به طور مشخص از طریق قابلیت Gatekeeper پیدا کرده اند. برای این منظور فایل اجرایی مخرب یاد شده درون یک فایل DMG (که در سیستم های مک قابل اجراست) قرار داده می شود.

محققان ترند میکرو در ادامه بررسی های خود با یکی از این فایل ها برخورد کرده اند که ظاهرا توانسته Gatekeeper را دور بزند. در واقع از آنجا که این قابلیت صرفا فایل های مربوط به مک را تایید می کند نتوانسته فایل اجرایی مخرب را شناسایی کند. کارشناسان امنیتی اعلام کردند که فایل اجرایی مخرب هکرها درون اینستالر Setup.dmg اپلیکیشن Little Snitch پنهان سازی شده بود.

اضافه کنیم که کارشناسان ترند میکرو هیچگونه الگوی حمله مشخصی را در ارتباط با این فایل اجرایی مخرب پیدا نکردند. آنها اعلام کردند که بخش اعظمی از آلودگی ها در انگلستان، استرالیا، ارمنستان، لوکزامبورگ، آفریقای جنوبی و آمریکا رویت شده و از آنجا که امکان اجرای فایل های EXE در محیط macOS وجود ندارد هکرها غالبا آن را با مونو باندل می کنند؛ نوعی فریم ورک رایگان که به کاربران مک امکان اجرای فایل های ویندوزی EXE را می دهد.

و اما محتوای درون این فایل اجرایی مخرب مجموعه ای از دیتای مربوط به سیستم آلوده شامل اسامی اپ های نصب شده در آن و مدل کامپیوتر را ثبت و ضبط می کند.