با بدافزار Coldroot آشنا شوید

نویسنده : دپارتمان فنی شرکت ارتباط امن - دوشنبه 2 مهر 1397 در ساعت 22:31:06

Coldroot یک بدافزار Mac است که می تواند به صورت مخفیانه، از راه دور یک کامپیوتر آسیب پذیر را کنترل کند و کلمه عبور را از keychain کاربر سرقت کند، دو سال است که سازندگان آنتی ویروس آن را نادیده گرفته اند – حتی اگر کد به راحتی قابل دانلود باشد.

Patrick Wardle، مدیر تحقیقاتی Digita Security، روز سه شنبه جزئیات مروبوط به Coldroot، تروجان دسترسی از راه دور را منتشر کرد.

این نوع از نرم افزارهای مخرب، نصب شده و دسترسی به بخش های عمیق سیستم عامل برای به دست آوردن کامل کنترل از راه دور سیستم در هر لحظه را فراهم می کنند – مانند آنکه مهاجم به صورت حضوری در پشت سیستم حضور دارد.

اما پس از موشکافی نرم افزارهای مخرب در یک تجزیه و تحلیل جدید، او متوجه شد که هیچ یک از سازندگان آنتی ویروس ذکر شده در لیست VirusTotal قادر به شناسایی بدافزار در زمان تحقیق خود نبودند – در صورتی که این کد در سال 2016 منتشر شد.

Wardle گفت، اگرچه این نرم افزار مخرب “به ویژه پیچیده نیست،” اما در عوض “قابلیت کاملی” دارد.

بر طبق گفته Wardle، بدافزار زمانی که فعال است می تواند کلمه عبور را ضبط و سرقت کند، پرونده ها را لیست کند، فایل ها را تغییر داده و حذف کند، اسناد را دانلود و آپلود کند، از راه دور دسکتاپ را در زمان واقعی ببیند و سیستم را خاموش کند.

تروجان مخرب به عنوان یک سند تغییر قیافه می دهد، که در هنگام باز شدن، سریع یک درخوسات برای رمز عبور کاربر ارائه می دهد. به این امید که کاربر ساده نهایتا وارد حساب کاربری خود شود، در این زمان نرم افزار مخرب به صورت مخفیانه نصب شده و با سرور فرمان و کنترل خود ارتباط برقرار کرده و به انتظار دستورالعمل های مهاجم صبر می کند.

اما برای دسترسی به بخش های وسیع تر سیستم برای انجام وظایف ناسازگار، نرم افزارهای مخرب نیاز به دسترسی به توابع دسترسی مک دارند. به منظور انجام این کار، کاربر مجبور به اضافه کردن بدافزار به لیست نرم افزار ها در تنظیمات سیستم است – چیزی که هیچکس مایل به انجام آن نیست.

در عوض بدافزار، پایگاه اطلاعات حریم شخصی مکینتاش را تغییر می دهد که اجازه می دهد بدافزار با اجزای سیستم ارتباط برقرار کند. هنگامی که نرم افزارهای مخرب در آن نصب شده اند، تروجان با دسترسی کامل به سیستم هر بار که سیستم راه اندازی مجدد می شود، با کامپیوتر دسترسی کامل خواهد داشت.

اپل با پچ کردن محافظت از پایگاه داده با حفاظت از یکپارچگی سیستم در macOS Sierra این کار را انجام داده است، که به طور خودکار حق دسترسی به بدافزارها برای انجام این کار را نمی دهد- حتی با وارد کردن رمز عبور کاربر.

Wardle گفت ابزار رایگان او کامپیوتر را در برابر حملات این چنینی محافظت می نماید.

او گفت: ” به سازندگان آنتی ویروس اطلاع داده است، که باید به زودی – اگر همین حالا این کار را انجام نداده باشد- شروع به تشخیص و مسدود کردن این بدافزارها کند. این مثال خوبی است که هکرها همچنان به دنبال macOS هستند!”.

افزودن دیدگاه جدید

دیدگاههای شما

لطفا برای ما پیام بگذارید

در حال حاظر کارشناس افلاین میباشد برای ما ایمیل ارسال نمایید

سوالی دارید ؟ ما دوست داریم به شما کمک کنیم .

برای ورود به گفتگو کلیک نمایید