جاسوس‌افزار سيستم‌های مک با امضای معتبر

شماره: IRCNE2013051856
تاريخ: 04/03/91

محققان امنيتي چندين نمونه از جاسوس‌افزار جديد KitM را براي سيستم‌هاي Mac Os X كشف و شناسايي كرده‌اند كه يكي از آنها به دسامبر 2012 بازمي‌گردد و كاربران آلماني زبان را هدف قرار داده است.
KitM كه با نام HackBack نيز شناخته مي‌شود، يك برنامه راه نفوذ مخفي (backdoor) است كه از صفحه نمايش تصويربرداري كرده و اين تصاوير را براي يك سرور دستور و كنترل راه دور ارسال مي‌كند. اين جاسوس‌افزار همچنين مسيري براي اجراي دستورات مهاجمان بر روي سيستم آلوده باز مي‌كند.
اين بدافزار نخستين بار حدود ده روز پيش توسط يك محقق امنيتي بر روي لپ‌تاپ مك يكي از اكتيويست‌هاي Angolan در يك كنفرانس حقوق بشر در نروژ كشف شد.
جالب‌ترين جنبه KitM اين است كه توسط يك Apple Developer ID معتبر امضا شده است، اين شناسه در حقيقت يك گواهي‌نامه امضاي كد است كه توسط اپل به شخصي به نام «راجيندر كومار» اعطا شده است. برنامه‌هاي امضا شده توسط يك Apple Developer ID معتبر مي‌توانند ويژگي امنيتي Gatekeeper در Mac OS X Mountain Lion را دور بزنند. اين ويژگي امنيتي منبع فايل‌ها را بررسي مي‌كند تا اطمينان حاصل كند كه خطري براي سيستم ندارند.
دو نمونه نخست KitM كه هفته گذشته كشف شدند به سرورهاي دستور و كنترل واقع در هلند و روماني متصل بودند. محققان شركت امنيتي «نورمن شارك»، نام‌هاي دامنه اين سرورها را به زيرساخت حمله يك كمپين جاسوسي سايبري هندي به نام Operation Hangover مرتبط كردند.
روز چهارشنبه محققان F-Secure ويرايش‌هاي ديگري از KitM را كشف كردند. اين نمونه‌ها در حملات هدفمند بين ماه‌هاي دسامبر و فوريه مورد استفاده قرار گرفته بودند و از طريق ايميل‌هاي حاوي فايل‌هاي zip منتشر شده بودند.
برخي از پيوست‌هاي خرابكار اين ايميل‌ها عبارت بودند از Christmas_Card.app.zip، Content_for_Article.app.zip، Interview_Venue_and_Questions.zip، Content_of_article_for_[NAME REMOVED].app.zip و Lebenslauf_fur_Praktitkum.zip.
نصب كننده‌هاي KitM كه در فايل‌هاي zip قرار داشتند فايل‌هاي اجرايي هستند، اما آيكون‌هايي مرتبط با فايل‌اي تصويري، ويدئويي اسناد Adobe PDF و اسناد Microsoft Word دارند. اين ترفند معمولاً در بدافزارهاي ويندوزي كه از طريق ايميل منتشر مي‌شوند مشاهده مي‌گردد.
ويرايش‌هاي جديداً كشف شده KitM نيز توسط همان گواهي راجيندر كومار امضا شده‌اند. اپل اين شناسه را هفته گذشته پس از كشف اولين نمونه‌ها باطل كرد، ولي اين كار به قربانيان فعلي كمكي نمي‌كند. چراكه اگر بدافزاري يك‌بار از Gatekeeper عبور كند، پس از آن هرگز توسط Gatekeeper چك نخواهد شد و به كار خود ادامه خواهد داد.
البته اپل مي‌تواند با استفاده از ويژگي محافظت در برابر بدافزار خود به نام XProtect، فايل‌هاي باينري شناخته شده KitM را در ليست سياه قرار دهد، ولي ويرايش‌هاي شناخته نشده اين بدافزار همچنان به كار خود ادامه مي‌دهند.
به گفته محققان F-Secure، كاربران مك براي جلوگيري از اجراي اين جاسوس‌افزار بايد تنظيمات امنيتي Gatekeeper را طوري تغيير دهند كه فقط برنامه‌هاي دانلود شده از Mac App Store مجوز نصب داشته باشند. البته اين نوع تنظيمات ممكن است براي برخي كاربران كه به نرم‌افزارهاي ديگري نياز دارند دردسرساز باشد.