بدافزاری با نام XCSSET برای کاربران نرم‌افزار xcode خطر ساز شده بود که این خطر به دلیل مشکلی در امنیت مرورگر سافاری بود. اما توسعه دهندگان این بدافزار کارشان را ادامه دادند و گونه‌های جدیدی ایجاد کردند که منجر به یک حمله همه جانبه بدافزاری شده است.

مطالعه نمایید: اپل نرم افزار جاسوسی گوگل را حذف می‌کند.

گونه‌های جدید قابلیت‌های بیشتر نظیر دزدی داده‌های محرمانه،‌ عکس گرفتن از صفحه نمایش،‌ دسترسی راه دور به میکروفن و وب کم و نصب باج‌افزار دارند.

مطالعه نمایید:  باج افزار BITPAYMER با بهره‌گیری از رخنه اپل از دید آنتی ویروس پنهان می‌ماند.

ویروس XCSSET چطور منتشر می‌شود؟

محققان امنیتی در شرکت trend micro برای اولین بار از طریق آلودگی xcode متوجه این بدافزار شدند.

Xcode یک نرم‌افزار توسعه جامع برنامه‌نویسی می‌باشد که برای سیستم عامل مک توزیع شده و توسط اپل پشتیبانی می‌شود. این نرم‌افزار به شکل رایگان در فروشگاه برنامه‌های اپل به نام appstore ارائه می‌شود.

بسیاری از برنامه‌نویسان کاربر xcode متوجه شدند که کد منبع این بدافزار در پروژه‌های خودشان رخنه کرده است. و همین باعث بازدید این بد افزار از طریق اشتراک گذاری پروژه‌های به وسیله کاربران در سایت‌هایی نظیر github شد. این امر باعث به وجود آمدن یک حمله نظیر مدل عرضه _ تقاضا شد.

در این مرحله این‌که چطور این بدافزار به پروژهای تحت xcode می‌چسبد مشخص نیست.

این بدافزار چه کار می‌کند؟

XCSSET از رخنه‌های سافاری سواستفاده می‌کند.

این بدافزار مرورگر سافاری را با استفاده از دو رخنه امنیتی تازه به مخاطره می‌اندازد.

اولین رخنه از انبار محافظت شده داده‌های سافاری رد می‌شود تا کوکی‌ها را دزدیده یا ایجاد کند.

دومین رخنه مربوط به اشکالی در نسخه در دست تولید سافاری می‌شود که اجازه انجام حملات xss  را می‌دهد. این یعنی بدافزار می‌تواند یک برنامه مخرب تحت سافاری ایجاد کند و آن را روی کامپیوتر میزبان نصب کند.

اطلاعات را از برنامه‌ها و مرورگرهای تحت کروم می‌دزدد.

XCSSET تنها به سافاری بسنده نمی‌کند. علاوه بر آن از حالت دیباگ مرورگر‌های تحت کروم سواستفاده می‌کند. این امر به نفوذگران امکان دست‌کاری و جای‌گذاری بیت‌کوین و اتر و دیگر رمزارزها را می‌دهد. همچنین می‌تواند از دسکتاپ کاربران عکس گرفته و مرورگر آن‌ها را در دست بگیرد.

به علاوه می‌تواند اطلاعات کارت‌های اعتباری و Apple ID را که به فروشگاه اپل وصل می‌شوند و اطلاعات هویتی کروم ،‌پی پال و دیگر پلتفرم‌ها را به سرقت ببرد.

تحقیقات به عمل آمده بیان‌گر این نکته بوده است که اطلاعات دزدیده شده اکثراً از منبع چین بوده‌اند و در رتبه بعدی با فاصله بسیار کم از هندوستان. گرچه اشخاص دیگری از کشورهایی مانند آمریکا و اوکراین و پاکستان و فیلیپین نیز قربانی شده‌اند.

به شکل باج افزار سنتی عمل می‌کند.

بدافزار XCSSET تعدادی ماژول‌های خطرناک باج افزاری دارد که اکثراً غیر فعال باقی می‌مانند اما اگر سیستم قربانی با‌ ارزش تلقی شود می‌توانند به شکل بالقوه فعال شده و باج خواهی کنند.

می‌تواند شبیه برنامه‌های سسیتم عامل مک نسخه ۱۱ عمل کند.

بدافزار به روز شده XCSSET با نسخه تازه منتشر شده سیستم عامل مک سازگاری دارد و می‌تواند حربه‌های امنیتی آن را دور بزند.

این بد افزار بسته‌هایی را از سرویس دهنده کنترل کننده خود دریافت کرده که دارای یک امضای تک منظوره هستند و به این وسیله این برنامه‌های تقلبی را اجرا می‌کند.

برای دانش بیشتر در مورد جزییات فنی این بدافزار می‌توانید بلاگ Trend Micro را مطالعه کنید.

کاربران سیستم عامل مک چطور می‌توانند از آلوده شدن جلوگیری کنند.

از آن‌جایی که بد افزار XCSSET عمدتا از طریق پروژه‌های تحت xcode منتشر می‌شود پس اگر یک توسعه‌دهنده هستید تنها باید از منابع مطمئن پروژه بارگیری کنید.

اما تنها توسعه دهندگان نیستند که مبتلا می‌شوند و این بدافزار می‌تواند به وسیله انتشار از طریق برنامه‌های تقلبی به کاربران عادی نیز لطمه وارد کند.

با توجه به پتانسیل ویران‌گر بالای این بدافزار و محتوای مخرب آن، بهترین روش استفاده از یک آنتی ویروس به روز می‌باشد.

با مجهز کردن سیستم به یک آنتی ویروس خوب و به روز از انتشار و و لطمه های این بدافزار در امان خواهید بود.