هکرها برای آلوده کردن دستگاه‌های Mac با بدافزار، برنامه معتبر ۲FA را آلوده می‌کنند

۱۳۹۹/۰۲/۳۰ - ۱۲:۳۹:۵۰
کد خبر: ۱۰۰۴۳۹۱
هکرها برای آلوده کردن دستگاه‌های Mac با بدافزار، برنامه معتبر ۲FA را آلوده می‌کنند
اعتقاد بر این است که گروه بدنام لازاروس در پشت این بدافزار است. بسیاری از گروه‌های جرایم سایبری در طول سال ها به دلیل قوام و عزم خود در انجام حملات ، نام خود را ایجاد کرده اند. یکی از این گروه‌ها، لازاروس است که گمان می‌رود اهل کره شمالی است و از سال 2009 فعالیت می‌کند.

به گزارش خبرگزاری برنا ؛ محققان آزمایشگاه های Malwarebytes با حمله دیگری از این گروه بدنام روبرو شده اند که در آن آنها یک قطعه بدافزار را در یک برنامه 2FA با نام macOS مستقر کرده اند به نام MinaOTP. به نظر می‌رسد این برنامه در بین کاربران چینی محبوب بوده است. مشاهده کنید: بدافزار AppleJeus MacOS بدافزار گروه Lazarus ، تبادلات cryptocurrency را هدف قرار داد. 

عملکردهایی که می تواند انجام دهد شامل اجرای دستورات ، مدیریت پرونده های سیستم ، مدیریت فرایندهای سیستم ، پراکسی ترافیک و اسکن کرم است. پس از جمع آوری اطلاعات ، از طریق اتصال TLS به سرور C2 خود متصل می شود ، "beaconing را انجام می دهد" ، داده ها را رمزگذاری می کند ، و سپس "با استفاده از الگوریتم RC4" را بر روی SSL انتقال می دهد. این کشف زمانی صورت گرفت که یک ماه پیش ، در تاریخ 8 آوریل ، یک فرد ناشناس یک برنامه مک با نام "TinkaOTP" در VirusTotal از هنگ کنگ ارسال کرد.

 برنامه ای که نمونه ای از برنامه واقعی است ، در حال حاضر فقط در برنامه های آنتی ویروس 23/59 قابل شناسایی است و به این واقعیت اشاره دارد که کاربران ممکن است در آنجا بسیار آسیب پذیر باشند. محققان با اظهار نظر در مورد نحوه کار و اجرای آن ، محققان در پست وبلاگ خود اظهار داشتند که ، این RAT از طریق LaunchDaemons یا LaunchAgents که یک لیست را در اختیار شما قرار می دهد و برنامه ای را که باید پس از راه اندازی مجدد اجرا شود ، نشان می دهد.

1

تفاوت بین LaunchAgents و LaunchDaemons در این است که LaunchAgents به نمایندگی از کاربر وارد شده ، کد را اجرا می‌کند در حالی که کد اجرای LaunchDaemon به عنوان کاربر اصلی است.

 برای کسانی که دنیای امنیت سایبری را از نزدیک دنبال می کنند ، می دانند که یک تروجان با همین نام برای ویندوز و لینوکس وجود دارد ، که اتفاق می افتد از همین گروه با این یک نسخه جدید باشد. 

چگونه می دانیم این از تجزیه و تحلیل محققان است که نشان داد نام هر 2 فایل زیر در هر یک از سیستم عامل ها یکسان است: 

c_2910.cls - پرونده گواهی

k_3872.Cls - پرونده خصوصی

 علاوه بر این ،افزونه ها در کلیه نسخه ها وجود دارد تا مراحل مختلف را آغاز کند. 

با نگاهی به نوع macOS مشخص شد که شش از 7 افزونه مشابه با لینوکس یکی است: نسخه جدید افزونه SOCKS است که برای اتصال بدافزار خود و سرور C2 از طریق یک پروکسی استفاده می شود.

2

مشاهده کنید: بدافزار مخرب Android EventBot جدید با فرار از 2FA دستگاهها را آلوده می کند تا نتیجه بگیریم ، این اولین بار نیست که این گروه به macOS حمله می کند. بنابراین ، ما به عنوان کاربران می توانیم اقدامات احتیاطی ساده ای را انجام دهیم مانند نصب یک برنامه آنتی ویروس معتبر ، بارگیری پرونده ها به همراه اسکن آنها برای هرگونه بدافزار با نرم افزار ضد ویروس قابل اعتماد ، و چک کردن هش های آنها برای بررسی اصالت آنها. همچنین می توانید برای اطمینان از مک خود در برابر هکرها ، این 11 نکته آسان را دنبال کنید. 

چنین اقداماتی می تواند به میزان بیشتری کمک کند حتی اگر ممکن است تمام وقت کار نکنند که ببینند به معنای واقعی کلمه همه چیز هک شده است.

 

 

 

نظر شما