چشم‌انداز اینترنت اشیا لینوکس به‌سرعت درحال تغییر است، و مهاجمان شروع به هدف قرار دادن دستگاه‌های IoT برپایه‌ی ARC CPU کرده‌اند. این اولین باری است که یک بدافزار، به‌طور خاص سیستم‌های مبتنی بر ARC را هدف قرار می‌دهد. بدافزار Mirai Okiru در زمان کشف برای بیشتر آنتی‌ویروس‌ها غیرقابل تشخیص بوده است.
به‌گفته‌ی محققان تاثیر این بات‌نت می‌تواند خرابکارانه باشد. با توجه به تخمین‌ها، تعداد پردازنده‌های جاسازی‌شده‌ی ARC به‌ازای هر سال به بیش از 1.5 میلیار دستگاه می‌رسد. این به این معنی است که تعداد دستگاه‌هایی که به‌صورت بالقوه در معرض خطر هستند بسیار زیاد است و بنابراین یک بات‌نت قدرتمند می‌تواند برای بسیاری از اهداف خرابکارانه استفاده شود.
پردازنده‌های ARC خانواده‌ای از CPUهای 32 بیتی هستند که توسط ARC International طراحی شده‌اند. آن‌ها به‌طور گسترده در دستگاه‌های SoC برای Storage، home، موبایل و برنامه‌های اینترنت اشیاء استفاده شده‌اند. Mirai Okiru بسیار خطرناک است، و توسعه‌دهنده‌ی آن اصلاحات نوآورانه‌ای را در رمزگذاری آن به‌وجود آورده است و این اولین بدافزاری است که هسته‌ی ARC را هدف قرار می‌دهد.
محققان معتقدند با وجود شباهت‌های بات نت جدید Okiru با بات نت Satori که آن‌هم از نوع Mirai بوده و دستگاه‌های IOT بسیاری را آلوده کرده است، این بات نت جدید کاملاً عملکردی متفاوت از خود ارائه کرده است.
پیکربندی Okiru در دو قسمت رمزگذاری کدهای عبور تل‌نت مورداستفاده قرار می‌گیرد این در حالی است که تروجان Satori در دو مرحله فعالیت خود را پیش نمی‌برد و رمزهای عبور پیش‌فرض را مورداستفاده قرار نمی‌دهد.
بررسی‌ها نشان می‌دهد که Satori به‌عنوان یک ابزار تکراری توزیع‌شده مورداستفاده قرار می‌گیرد که از طریق UDP های تصادفی از TSource Engine Query استفاده می‌کند. این در حالی است که تروجان Okiru از این قاعده پیروی نمی‌کند. پایگاه داده پردازنده مرکزی ARC توسط بدافزار Okiru کامپایل می‌شود؛ این در صورتی است که خطر ساخت بات نت‌ها برای میلیون‌ها دستگاه روزبه‌روز در حال افزایش است.

شرکت اوراکل، وصله‌هایی را برای ده آسیب‌پذیری جدید در VirtualBoxمنتشر کرده است. این آسیب‌پذیری‌ها به مهاجمان اجازه می‌دهند تا از سیستم‌عامل مهمان خارج شوند و به سیستم‌عامل میزبانی که VirtualBoxبر روی آن اجرا می‌شود، حمله کنند. سوءاستفاده از این روش که به «فرار ماشین مجازی» معروف است، پس از افشای آسیب‌پذیری "Venom" در سال 2015، به یک موضوع بسیار جذاب برای محققان امنیتی تبدیل شد.
این ده آسیب‌پذیری‌ با نام‌های CVE-2018-2676، CVE-2018-2685، CVE-2018-2686، CVE-2018-2687، CVE-2018-2688، CVE-2018-2689، CVE-2018-2690، CVE- 2018-2693، CVE-2018-2694 و CVE-2018-2698 منتشر شده اند. همه‌ی این ده آسیب‌پذیری اثر مشابهی دارند؛ اما روش‌های استفاده از آن‌ها توسط مهاجمان، متفاوت است.
آسیب‌پذیری CVE-2018-2698 مربوط به رابط حافظه‌ی مشترک است که توسط «نیکلاس باستمارک» کشف و توسط Beyond Security گزارش شد. این آسیب‌پذیری در چارچوب گرافیکی هسته‌ی VirtualBoxوجود دارد و در هر سیستم‌عامل میزبانی قابل سوءاستفاده است. به‌خصوص، دستگاه VGAارایه‌دهنده‌ی VirtualBoxبرای سیستم‌عامل‌های مهمان که به VRAMاختصاص داده شده است. این حافظه، دو وظیفه‌ را به عهده دارد؛ زیرا رابط میزبان/مهمان حافظه‌ی مشترک (HGSMI), از طریق دستگاه VGAاداره می‌شود. این مؤلفه برای به‌اشتراک‌گذاشتن اطلاعات بین سیستم‌عامل‌های مهمان و میزبان مورد استفاده قرار می‌گیرد و قابلیت‌هایی را فراهم می‌کند که به برنامه‌های مهمان اجازه می‌دهند تا در سیستم‌عامل میزبان اجرا شوند (ویژگی unityدر ماشین مجازی).
HGSMIهمچنین می‌تواند برای کپی‌‌کردن داده‌ها در VRAM استفاده شود. قابلیت کپی، مهاجمان در سیستم‌عامل مهمان را قادر به خواندن و نوشتن داده‌های خارج از محدوده در میزبان می‌کند. طبق گفته‌ی باستمارک، این امر به مهاجم اجازه می‌دهد تا عملیات دلخواه را بر روی میزبان ویندوز 10 به‌عنوان SYSTEMاجرا کند.
یکی دیگر از مؤلفه‌های VirtualBox، "vmmdev" است. این مؤلفه که پل ارتباطی بین سیستم میزبان و بسته‌ی VirtualBox Guest Additions است، دارای آسیب‌پذیری CVE-2018-2694 می‌باشد و اجازه‌ی افزایش امتیاز را در میزبان Mac OS X می‌دهد.
به‌طور مشابه، آسیب‌پذیری CVE-2018-2693 در Guest Additions به مهاجمان امکان دسترسی به پلت‌فرم میزبان را می‌دهد. این آسیب‌پذیری به‌آسانی قابل سوءاستفاده است؛ اما نیاز به اقداماتی دارد که باید توسط فردی غیر از مهاجم انجام شود.
VirtualBox یک Hypervisor محبوب عمومی است و معمولاً برای مجازی‌سازی میزکار استفاده می‌شود. در مقایسه با سایر محصولات، VirtualBoxپشتیبانی گسترده‌تر و قابل اطمینان‌تری برای سیستم‌عامل‌های عجیب و نادر مانند OS / 2 و Haiku فراهم کرده است.
پشتیبانی از درایور مهمان VirtualBox نیز در هسته‌ی لینوکس، از نسخه‌ی 4.16 یکپارچه شده است. برای Red Hat's Hans de Goedeنیز درایور "vboxsf" برای پشتیبانی از پوشه‌ی مشترک مهمان VirtualBox قرار داده شده است. درایور پوشه‌ی مشترک به vboxguestوابسته است و وصله‌های مربوط به آن در حال بررسی هستند.
برای عملیات کارگزار و ابر، Hypervisorهایی مانند KVMو VMwareرایج‌تر هستند.
کاربرانی که از VirtualBoxاستفاده می‌کنند، به‌طور بالقوه در معرض آسیب‌پذیری‌های ذکرشده قرار دارند؛ اما برخی از آسیب‌پذیری‌های گزارش‌شده برای سیستم‌عامل‌های خاص مشخص است. وصله‌های تازه منتشرشده در آخرین نسخه (5.2.6) و همچنین نسخه‌‌ی قدیمی (5.1.32) موجود است. به کاربرانی که در حال اجرای کد غیر قابل اعتماد در VMمهمان هستند، توصیه می‌شود تا فوراً این به‌روزرسانی را انجام دهند. از آنجا که این آسیب‌پذیری‌ها بر هر دو نسخه‌ی Hypervisorو مهمان تأثیر می‌گذارند، نسخه‌های مهمان در ماشین‌های مجازی نیز باید به‌روزرسانی شوند.

محققان امنیت سایبری بیش از 2000 سایت که از سیستم مدیریت محتوا Wordpress استفاده می کنند را شناسایی کرده اند که توسط یک اسکریپت برای دزدیدن username و password در صفحه ی ورود به بخش مدیریت سایت، آلوده شده بودند و همچنین در صفحات و بخش های اصلی سایت از یک اسکریپت مخصوص عملیات cryptojacking بر روی مرورگر استفاده می کرده اند. این خبر در حالی منتشر شده است که در ماه دسامبر 2017 میلادی، عملیاتی شبیه به همین نفوذ بر علیه سایت های بسیاری که از Wordpress استفاده می کنند رخ داده بود.
روش انجام این گونه حملات ساده و مشخص می باشد. نفوذگران به دنبال سایت های Wordpress هستند که نسخه ی هسته مرکزی آنها قدیمی بوده و دارای آسیب پذیری می باشند؛ ویا اینکه سایت های Wordpress که دارای Plugin ها و Theme های آسیب پذیر می باشند را پیدا کرده و برای انجام حمله خود از آنها استفاده می کنند و با استفاده از Exploit های موجود، کدهای آلوده خود را به source این گونه سایت ها تزریق می کنند.
کدهای آلوده تزریق شده دارای دو بخش کلی مباشد. بخش اول کدهایی که در قسمت login سامانه قرار داده می شوند و هدف آن دزدیدن اطلاعات ورود به بخش مدیریت سایت می باشد. بخش دوم، کدهای Coinhive Miner می باشد که برای استفاده از منابع CPU بازکنندگان سایت به صورت غیرمجاز و ساخت ارز Monero مورد استفاده قرار می گیرد.
در شش ماه دوم سال 2017 میلادی گروه های کلاه برداری اینترنتی از دامنه هایی همچون cloudflare.solutions برای دریافت داده های دزدیده شده از کاربران و انتقال آنها توسط Keylogger ها استفاده می کردند. در آن حملات بیش از 5500 سایت Wordpress مورد حمله قرار گرفت که با غیرفعال کردن دامنه ی فوق در 8 دسامبر 2017 این حملات به کار خود پایان دادند. بر اساس گزارش کمپانی تحقیقات امنیت سایبری Sucuri، این کمپانی که از همان سال 2017 این گروه ها را مورد شناسایی و رصد قرار داده بود، اعلام کرد که هم اکنون این گروه های کلاهبرداری از دامنه های زیر برای دریافت و ذخیره اطلاعات ارسالی از جانب Keylogger ها استفاده می کنند:
   • cdjs.online
   • cdns.ws
   • msdns.online
همچنین با تحقیقات بیشتر مشخص شده است که بیش از 2000 سایت Wordpress که اسکریپت های آلوده بر روی آنها قرار داده شده است، این اسکریپت ها توسط دامنه های فوق بر روی سیستم مدیریت محتوا آنها بارگزاری شده است. مرکز Sucuri اعلام کرد که به احتمال بالا، تعداد سایت های آلوده شده بیشتر از میزان تخمین زده شده می باشد.
مدیران سایت توسط بررسی فایلهای به روز رسانی شده و تغییر داده شده می توانند وجود این گونه اسکریپت ها در سایت خود را مورد بررسی قرار دهند. فراموش نکنیم که همواره CMS Wordpress خود را برای جلوگیری از حملات نفوذگران به روز کنیم.

امروزه، پول رمزنگاری شده تنها مختص افراد متخصص در حوزه کامپیوتر و فناوری اطلاعات نیست. پول رمزنگاری شده بیشتر از آنچه که مردم متوجه شده اند، بر زندگی روزمره آنها تأثیر گذاشته است و در عین حال، به سرعت به یک هدف جذاب برای مجرمان سایبری تبدیل شده است.
برخی از تهدیدات سایبری از پرداخت های الکترونیکی، نشأت گرفته شده اند مانند تغییر آدرس کیف پول مقصد در حین تراکنش ها، سرقت کیف پول الکترونیکی و موارد دیگر. با این حال، پول های رمزنگاری شده منجر به ایجاد روش های جدید و بی سابقه ای برای کسب درآمد از اقدامات خرابکارانه شده اند.

چشم انداز پول های رمزنگاری شده در سال 2017
در سال 2017، باج افزارها تهدید اصلی جهانی برای کاربران بودند و قربانیان به منظور بازیابی فایل ها و داده های رمزنگاری شده خود توسط مهاجمان، مجبور بودند که باج تقاضا شده را با استفاده از پول رمزنگاری شده پرداخت کنند. در هشت ماهه نخست سال 2017، محصولات آزمایشگاه کسپرسکی 65/1 میلیون کاربر را از استخراج کننده های مخرب پول رمزنگاری شده محافظت نمودند و انتظار می رود که این رقم تا پایان این سال به بیش از دو میلیون نفر رسیده باشد. علاوه بر این، پس از گذشت چند سال در سال 2017 بازگشت سارقان بیت کوین دیده شد.
در سال 2018 چه انتظاری می توان داشت؟
با افزایش مداوم تعداد، پذیرش و ارزش بازاری پول رمزنگاری شده، نه تنها این پول ها به عنوان یک هدف جذاب برای مجرمان سایبری باقی خواهند ماند، بلکه منجر به استفاده از تکنیک ها و ابزارهای پیشرفته تری برای ایجاد پول های رمزنگاری شده ی بیشتر خواهند شد. مجرمان سایبری به سرعت توجه خود را به سمت سود آورترین طرح های پول سازی معطوف خواهند نمود. بنابراین، احتمالاً سال 2018 سال استخراج-کنندگان مخرب در وب خواهد بود.

برای دریافت متن کامل کلیک نمایید.

طبق یافته‌های محققین گروه امنیتی Rhino Labs (شرکت امنیتی سایبری ایالات‌متحده امریکا) عاملین مخرب می‌توانند با سوءاستفاده از یکی از ویژگی‌های Microsoft Word به نام subDoc، رایانه‌های ویندوزی را فریب دهند و هش NTLM را مورد سرقت قرار دهند. هش NTLM قالب استانداردی است که اعتبارنامه‌‌های حساب کاربری در آن ذخیره شده‌اند.
قلب این تکنیک، حمله‌‌ی NTLM (pass-the-hash attack) است که از سال‌های پیش وجود داشته است. به گفته‌ی Rhino Labs، تفاوت حمله‌ی کلاسیک با حمله‌ی جدید، در روش انجام آن است. حمله‌ی جدید از طریق یکی از ویژگی‌های Word به نام subDoc انجام می‌شود. ویژگی subDoc به فایل‌های Word اجازه می‌دهد تا زیرسندها را از سند اصلی بارگیری کنند.
به گفته‌ی متخصصین Rhino Labs، روش حمله به این صورت است که مهاجمان یک فایل Word را که زیرسندی را از یک کارگزار مخرب بارگذاری می‌کند، ایجاد می‌کنند. از طرف دیگر یک کارگزار SMB را میزبان قرار می‌دهند و به‌جای ارائه‌ی زیرسند درخواستی، رایانه‌ی شخصی قربانی را فریب ‌می‌دهند تا هش NTLM را که برای احرازهویت در دامنه‌ی جعلی موردنیاز است، ارایه دهد.
ابزارهای برخط متعددی برای کرک هش‌های NTLM و به‌دست آوردن اعتبارنامه‌های ویندوز موجود در آن در دسترس است. مهاجمان می‌توانند از این اعتبارنامه‌های ورودبه‌سیستم برای دسترسی به رایانه یا شبکه‌ی قربانی استفاده کنند و خود را به‌عنوان کاربر اصلی جا بزنند. این نوع از هک معمولا‌ً در شرکت‌ها و سازمان‌ها دولتی استفاده می‌شود.
به گفته‌ی محقق امنیتی کلمبیایی به نام Juan Diago، این حمله مشابه تکنیک‌های دیگری همچون استفاده از فایل‌های SCF و درخواست‌های SMB به‌منظور فریب ویندوز جهت ارایه‌ی هش‌های NTLM است.
این حمله اولین روش حمله‌ای نیست که از یک ویژگی‌ کمتر شناخته‌شده‌ی Microsoft Word سوءاستفاده می‌‌کند. تکنیک‌های دیگری مانند استفاده از ویژگی DDE یا ویژگی قدیمی ویرایشگر معادله‌ی Office نیز در حملات استفاده شده‌اند. با این وجود، در حال حاضر تشخیص حملات subDoc مشکل‌ است.
مایکروسافت به‌تازگی پشتیبانی از DDE را در Word غیرفعال کرده است، زیرا این ویژگی بارها توسط توزیع‌کنندگان بدافزار مورد سوءاستفاده قرار گرفته است. سرنوشت subDoc هنوز مشخص نیست زیرا این ویژگی برای کمپین‌های توزیع بدافزار یک آسیب¬پذیری کلیدی نیست و ممکن است به‌اندازه‌ی حملات DDE موردتوجه مایکروسافت قرار نگیرد. ازآنجایی‌که این ویژگی عموماً به‌عنوان یک حمله برای اعمال مخرب شناخته نشده است، توسط نرم‌افزار آنتی‌ویروس شناسایی نمی‌شود.

امروزه اکثر شبکه‌های تجاری از سوئیچ برای اتصال رایانه‌ها، پرینترها و کارگزارهای درون یک ساختمان یا محوطه سازمان و ... استفاده می‌کنند. یک سوئیچ به‌عنوان کنترل‌گر عمل می‌کند و دستگاه‌های شبکه‌ای را قادر می‌سازد تا بتوانند بهتر باهم صحبت کنند.
مهندسین شرکت Lenovo یک درب‌پشتی در سوئیچ‌های شبکه‌ای RackSwitch و BladeCenter یافته‌اند. این شرکت به‌روزرسانی‌های سفت ‌افزاری جهت حذف درب‌پشتی را در اوایل ماه جاری منتشر ساخته است.
به گفته‌ی Lenovo، این درب‌پشتی تنها سوئیچ‌های RackSwitch و BladeCenter که سیستم‌عامل شبکه‌یEnterprise (ENOS) را اجرا می‌کنند، تحت‌تأثیر قرار می‌دهد. این درب‌پشتی در سیستم‌عامل شبکه‌ی ابری (CNOS) یافت نشده است. بنابراین سوئیچ‌هایی که این سیستم ‌عامل را اجرا می‌کنند، امن هستند.
این درب‌پشتی در سال 2004 زمانی که ENOS توسط واحد تجاری Blade (BSSBU) Nortel حمایت می‌شد به ENOS اضافه شده است. به ادعای Lenovo، ظاهراً Nortel به درخواست یک مشتری OEM BSSBU مجاز به اضافه‌کردن درب‌پشتی بوده است.
Lenovo این درب‌پشتی را «درب‌پشتی HP» نامیده است. به نظر می‌رسد کد درب‌پشتی حتی پس ‌از اینکه Nortel در سال 2006 دیگر از BSSBU به‌عنوان فناوری‌های شبکه‌ی BLADE (BNT) حمایت نمی‌کرد، در سفت افزار باقی مانده بود.این درب‌پشتی حتی پس ‌از آنکه شرکت IBM در سال 2010 BNT را خریداری کرد در کد باقی مانده بود. Lenovo در سال 2014 شرکت IBM را خریداری کرد.
وجود سازوکارهایی که مکانیزم احرازهویت را دور می‌زنند برای Lenovo قابل‌ قبول نیستند و از امنیت محصولات Lenovo و شیوه‌های صنعتی پیروی نمی‌کنند. Lenovo این سازوکار را از کد منبع ENOS حذف و برای محصولات آسیب‌دیده، سفت افزاری به ‌روز شده منتشر ساخته است.
این به‌ روزرسانی‌ها نه ‌تنها برای هر دو سوئیچ جدیدتر شرکت Lenovo قابل ‌استفاده هستند، سوئیچ‌های قدیمی‌تر شرکت IBM که هنوز در چرخه‌ی حیات هستند و ENOS را اجرا می‌کنند نیز می‌توانند از آن‌ها استفاده کنند.
درب‌پشتی HP یک حساب کاربری مخفی نیست، یک سازوکار دورزدن احراز هویت است که تحت شرایط بسیار سخت اتفاق می‌افتد.
سوئیچ‌های RackSwitch و BladeCenter روش‌های احرازهویت مختلفی را از طریق SSH، Telnet، رابط مبتنی بر وب و یک کنسول سریال پشتیبانی می‌کنند. مهاجم می‌تواند از این درب‌پشتی سوء استفاده کند و احرازهویت را زمانی که سوئیچ‌های آسیب‌ دیده دارای چندین سازوکار احراز هویت هستند و ویژگی‌های امنیتی خاموش یا روشن شده‌اند، دور بزند.
اگر مشتریانی که از این سوئیچ‌ها استفاده می‌کنند نتوانند بلافاصله آن‌ها را به‌ روزرسانی کنند، روش‌هایی وجود دارد که می‌توانند آن‌ها را به ‌کار گیرند و مانع از فعال‌ شدن درب ‌پشتی شوند.

محقق امنیتی با نام پاتریک وردل، گونه‌ی جدیدی از بدافزار را مورد تجزیه ‌و تحلیل قرار داد که به نظر می‌رسد برای ربودن تنظیمات DNS در دستگاه‌های مک طراحی شده است.
این بدافزار که "OSX/MaMi" نامیده می‌شود، مبتنی بر کلاس "SBMaMiSettings" است و در حال حاضر تنها توسط محصولات ضدبدافزار ESET و Ikarus، تحت نام‌های "OSX/DNSChanger.A" و "Trojan.OSX.DNSChanger" شناسایی می‌شود.
این محقق، نمونه‌ای از بدافزار MaMi را در انجمن‌های Malwarebytes به‌دست آورد که در آن یک کاربر، گزارشی در مورد آلوده‌شدن دستگاه مک معلمی ارائه کرده بود. طبق گزارش این کاربر، کارگزارهای DNS در سیستم آسیب‌دیده به "82.163.143.135" و "82.163.142.137" تغییر یافتند و علیرغم حذف ورودی‌های DNS، آدرس‌ها همچنان ثابت باقی ماندند.
واردل قادر به تعیین نحوه‌ی توزیع این بدافزار نبود؛ اما او معتقد است که این تهدید به ‌احتمال‌ زیاد از طریق پست الکترونیک، هشدارهای امنیتی جعلی، نوارهای پاپ‌آپ در وب‌سایت‌ها یا حملات مهندسی اجتماعی توزیع می‌شود.
نمونه‌ای که توسط این محقق تحليل شده است، مانند يک سارق DNS عمل می‌کند. این نمونه همچنين حاوی کد برای گرفتن تصاوير، شبیه‌سازی حرکات ماوس، بارگیری و بارگذاری فایل‌ها و اجرای دستورات است.
به نظر می‌رسد که MaMi هیچ‌کدام از این توابع را اجرا نمی‌کند؛ اما وردل می‌گوید ممکن است که این توابع به ورودی‌هایی از جانب مهاجم یا سایر پیش‌شرط‌ها نیاز داشته باشند که ممکن است ماشین مجازی او آن شرایط را نداشته باشد.
هنگامی‌که این بدافزار سیستم را آلوده می‌کند، ابزار امنیتی آن را فرا می‌خواند و از آن برای نصب گواهینامه‌ی جدید به‌دست‌آمده از یک مکان از راه دور استفاده می‌کند.
OSX/MaMi بدافزار پیشرفته‌ای نیست؛ اما سیستم‌های آلوده را به شیوه‌های مخرب و ماندگار تغییر می‌دهد. با نصب یک گواهینامه‌ی ریشه جدید و ربودن کارگزارهای DNS، مهاجمان می‌توانند فعالیت‌های مخربی مانند حمله‌ی مرد میانی را برای سرقت اعتبارنامه‌ها یا تزریق تبلیغات انجام دهند.
به نظر می‌رسد این بدافزار برای دستگاه‌های ویندوز طراحی نشده است. ساده‌ترین راه برای تعیین اینکه آیا یک سیستم مک به این بدافزار آلوده شده است یا خیر، بررسی تنظیمات DNS است. اگر کارگزار DNS با آدرس‌های "82.163.143.135" و "82.163.142.137" تنظیم شده باشد، سیستم آلوده شده است.
پاتریک وردل، دیوار آتیش منبع ‌باز رایگانی با نام "LuLu" برای مک ایجاد کرد که قادر به جلوگیری از ترافیک‌های مشکوک و خنثی‌کردن OSX/MaMi است.
MaMi تنها بدافزار تغییردهنده‌ی DNS نیست که تاکنون شناسایی شده است. معروف‌ترین بدافزار تغییردهنده‌ی DNS بدافزار "DNSChanger" است که در سال 2011 شناسایی شد. این بدافزار بر روی هر دو دستگاه ویندوز و OSX تأثیر گذاشت و میلیون‌ها دستگاه را در سراسر جهان آلوده کرد.

کارشناسان امنیتی، آسیب‌پذیری جدیدی را در macOS High Sierra کشف کردند که به کاربرانی که به‌عنوان مدیر وارد می‌شوند اجازه می‌دهد تا بتوانند با واردکردن هر گذرواژه‌ای، بخش App Store Preferences موجود در System Preferences را باز کنند. این نقص به دنبال یک سری اشکالات امنیتی قابل‌توجه در هفته‌های اخیر، ازجمله نقص دسترسی ریشه که به هرکسی اجازه دسترسی به تنظیمات حساب کاربری مهم و بیشتر را می‌دهد، رخ داده است.
مراحل سوءاستفاده از این آسیب‌پذیری و دسترسی به تنظیمات App Store عبارت‌اند از:
   • واردشدن به‌عنوان یک مدیر محلی؛
   • باز کردن App Store Prefpane در System Preferences؛
   • قفل‌کردن padlock درصورت بازبودن آن؛
   • کلیک‌کردن بر روی قفل به‌منظور بازکردن آن؛
   • واردکردن گذرواژه‌ی دلخواه.
این آسیب‌پذیری که توسط اریک هولمت گزارش شد، دسترسی به داده‌های خصوصی را به‌اشتراک نمی‌گذارد و تنها بر روی آخرین نسخه‌ی macOS 10.13.2 و کاربرانی که به‌عنوان مدیر وارد می‌شوند، تأثیر می‌گذارد.
این اشکال به صفحه‌ی App Store Preferences محدود می‌شود؛ زیرا macOS High Sierra در حال حاضر padlock را به‌عنوان پیش‌فرض برای این بخش از تنظیمات انتخاب کرده است و padlock صفحه،‌ بخش‌های دیگر را در تنظیمات سیستم باز نمی‌کند. علاوه ‌بر این، بسیاری از تنظیمات در پنجره‌ی App Store Preferences با گذرواژه‌ی Apple ID کاربر محافظت می‌شوند و نمی‌توانند با استفاده از این روش تغییر یابند.
شرکت اپل هنوز به این آسیب‌پذیری پاسخی نداده است؛ اما احتمالاً به ‌زودی یک وصله‌ی امنیتی منتشر و این مسئله را رفع خواهد کرد. در عین‌ حال، کاربران می‌توانند برای جلوگیری از مورد سوءاستفاده قرارگرفتن توسط این آسیب‌پذیری، پس از کار با سیستم، از حساب کاربری مدیر خود خارج شوند یا از حساب کاربری استاندارد به ‌جای حساب کاربری مدیر استفاده کنند.

گراف‌سازی ویژگی جدیدی از VirusTotal است که ارتباط بین فایل‌ها، URLها، دامنه‌ها و آدرس‌های IPهر مجموعه‌داده‌ی تجزیه و تحلیل‌شده را نشان می‌دهد. VirusTotal سرویس مفیدی است که به هر کاربر اجازه‌ می‌دهد فایل‌ها را بارگذاری کند و آن‌ها را با استفاده از بیش از 60 موتور آنتی‌ویروس مختلف بررسی نماید.
ابزار جدید VirusTotal تنها در دسترس مشترکین VirusTotalنیست و تمامی اعضا می‌توانند از آن استفاده کنند.
این گراف را می‌توان مستقیماً از آدرس https://www.virustotal.com/graph و ارایه‌ی هش شناخته‌شده یا رفتن به صفحه‌ی تجزیه‌وتحلیل یک فایل خاص به‌دست آورد. در صفحه‌ی تجزیه‌وتحلیل، گزینه‌ی جدیدی در فهرست با عنوان Open in VirusTotal Graph وجود دارد که کاربر را به صفحه‌ی گراف می‌برد

متن کامل خبر در پیوست

در پی انتشار یک بدافزار در بین کاربران تلفن‌های همراه اندرویدی کشور با عنوان ((فیلترشکن آمدنیوز)) و ادعای انتصاب آن به نهادهای دولتی،‌ بررسی فنی برای شناخت ماهیت و چگونگی عملکرد آن در مرکز ماهر صورت گرفت. خلاصه نتایج این بررسی بدین شرح است:

• این اپلیکیشن پس از اجرا، به تمام مخاطبین کاربر، پیامکی حاوی لینک دریافت این فایل را ارسال کرده و سپس همه مخاطبین را حذف‌ می‌کند.
• اپلیکیشن ساختار و طراحی ابتدایی و ساده دارد.
• غیر از عملکرد شرح داده شده، هیچ قابلیت و عملکرد دیگری در این اپلیکیشن وجود ندارد. این برنامه هیچ گونه ارتباط اینترنتی نداشته و قابلیت سرقت اطلاعات و تماس با سرورهای کنترلی وجود ندارد.
• لینک ارسالی توسط پیامک بر بستر سرویس ابری شرکت آمازون بوده است که در حال حاضر غیرفعال شده است.
• لذا ضمن رد هرگونه ارتباط این بدافزار با نهادهای دولتی، جزییات تحلیل آن به پیوست ارائه می گردد.

دانلود پیوست