EN
 

بدافزار جدید مک‌اواس با امضای دیجیتال، محدودیت‌های امنیتی اپل را دور زد

  1. سرتفا»
  2. آخرین خبرها»
  3. بدافزارها
۰۸ دی ۱۴۰۴

پژوهشگران امنیت سایبری از شناسایی نسخه‌ای تازه از بدافزار «MacSync» خبر داده‌اند که با سوءاستفاده از یک برنامه تاییدشده و امضاشده دیجیتالی، موفق به عبور از سد امنیتی «گیت‌کیپر» (Gatekeeper) در سیستم‌عامل مک‌اواس شده است.

به‌گفته «تایس خافلِر»، محقق شرکت Jamf، برخلاف نسخه‌های پیشین این بدافزار که به شیوه‌هایی چون اجرای دستور در ترمینال یا تکنیک‌های ClickFix متکی بودند، نسخه جدید از رویکردی پنهان‌کارانه‌تر بهره می‌برد و با ظاهر فریبنده یک نصب‌کننده پیام‌رسان منتشر شده است.

این بدافزار در قالب یک اپلیکیشن Swift امضاشده و دارای تاییدیه رسمی اپل، در فایل دیسک تصویری (DMG) با نام zk-call-messenger-installer-3.9.2-lts.dmg و از طریق وب‌سایت zkcall[.]net توزیع شده است. ماهیت تاییدشده آن باعث می‌شود سیستم‌های امنیتی مک‌اواس نظیر گیت‌کیپر یا «اکس‌پروتکت» (XProtect) آن را مسدود نکنند. با این حال، کاربران برای اجرای آن نیاز به کلیک راست و انتخاب گزینه «Open» دارند، روشی رایج برای دور زدن محدودیت‌های امنیتی اپل. گواهی امضای این اپلیکیشن اکنون توسط اپل باطل شده است.

اپلیکیشن مذکور پس از اجرا، اتصال اینترنت را بررسی کرده، تاخیر زمانی حداقلی تعریف می‌کند، مشخصه قرنطینه فایل را حذف کرده و سپس کد رمزگذاری‌شده‌ای را از سرور دریافت و اجرا می‌کند.

به‌گفته پژوهشگران امنیتی، روش دریافت بدافزار نیز دستخوش تغییر شده است. در حالی که نسخه‌های قبلی از دستور معمول curl -fsSL استفاده می‌کردند، این نسخه از پارامترهای متفاوتی چون -fL -sS و گزینه‌هایی مانند --noproxy بهره می‌برد که نشانه تلاش برای دور زدن ابزارهای شناسایی است.

از دیگر شگردهای به‌کاررفته در این کارزار، استفاده از فایل DMG حجیم ۲۵.۵ مگابایتی است که با اسناد پی‌دی‌اف بی‌ربط پر شده تا حجم فایل افزایش یابد و احتمالا سیستم‌های دفاعی را فریب دهد.

بار نهایی این بدافزار، نسخه‌ای جدید از MacSync است؛ ابزاری مبتنی بر زبان Go که نه‌تنها قابلیت سرقت داده دارد بلکه امکان کنترل از راه دور سیستم قربانی را نیز فراهم می‌کند. این بدافزار نخستین‌بار در آوریل ۲۰۲۵ معرفی شد و اکنون با ظاهری متفاوت بازگشته است.

شرکت Jamf هشدار داده که این رویکرد جدید، بازتابی از روند کلی در چشم‌انداز تهدیدات مک‌اواس است؛ جایی که مهاجمان برای جلب اعتماد کاربران، بدافزارهای خود را در قالب اپلیکیشن‌های ظاهرا معتبر و دارای امضای رسمی عرضه می‌کنند. نمونه‌های مشابهی پیش‌تر در فایل‌های جعلی گوگل میت یا حملات با استفاده از بدافزارهایی چون Odyssey و DigitStealer نیز مشاهده شده بود.

توضیحات بیشتر:

New MacSync macOS Stealer Uses Signed App to Bypass Apple Gatekeeper

بدافزار

به اشتراک بگذارید

بازگشت به بالا

ایراد امنیتی در افزونه مرورگر «تراست والت» موجب سرقت ۷ میلیون دلاری شد
کشف بسته کد آلوده در قالب ای‌پی‌آی واتس‌اپ که پیام‌های را سرقت می‌کرد