- بدافزاری بهنام XCSSET برای کاربران نرمافزار xcode خطرساز شد.
- این خطر بهدلیل مشکلی در امنیت مرورگر سافاری به وجود آمد.
توسعهدهندگان بدافزار XCSSET کارشان را ادامه دادند و گونههای جدیدی ایجاد کردند که منجر به یک حملهی همهجانبه بدافزاری شد.
گونههای جدید قابلیتهای بیشتری نظیر دزدی دادههای محرمانه، عکس گرفتن از صفحه نمایش، دسترسی به میکروفن، وبکم و درنهایت نصب باجافزار دارند.
ویروس XCSSET چطور منتشر میشود؟
محققان امنیتی در شرکت trend micro برای اولین بار از طریق آلودگی xcode متوجه این بدافزار شدند.
Xcode یک نرمافزار توسعه جامع برنامهنویسی است که برای سیستمعامل مک توزیع و توسط اپل پشتیبانی میشود. این نرمافزار بهشکل رایگان در فروشگاه برنامههای اپل بهنام Appstore ارائه میشود.
بسیاری از برنامهنویسان که کاربر Xcode بودند متوجه شدند که کد منبع این بدافزار در پروژههای خودشان رخنه کرده است. همین امر باعث بازدید این بدافزار از طریق پروژههایی که کاربران در سایتهایی نظیر github اشتراکگذاری کردند، شد. درنهایت منجر به وقوع یک حمله نظیر مدل عرضه و تقاضا شد.
در این مرحله اینکه چطور این بدافزار به پروژهای تحت Xcode میچسبد، مشخص نیست.
این بدافزار چگونه عمل میکند؟
در ادامه روشهای عملکرد این بدافزار را توضیح خواهیم داد:
1) XCSSET از رخنههای سافاری سوءاستفاده میکند.
این بدافزار مرورگر سافاری را با استفاده از 2 رخنه امنیتی تازه به خطر میاندازد.
اولین رخنه ازانبار محافظت شدهدادههای سافاری رد میشود تا کوکیها را یا دزدیده و یا آنها را ایجاد کند.
دومین رخنه مربوط به اشکال و ایرادی در نسخه در دست تولید سافاری میشود که اجازه انجام حملات XSS را میدهد. در واقع این بدافزار میتواند یک برنامه مخرب تحت سافاری ایجاد و سپس آن را روی کامپیوتر میزبان نصب کند.
2) اطلاعات را از برنامهها و مرورگرهای تحت کروم به سرقت میبرد.
XCSSET تنها به سافاری بسنده نمیکند. علاوهبر آن از حالت دیباگ مرورگرهای تحت کروم نیز سوءاستفاده میکند. این امر به نفوذگران امکان دستکاری و جایگذاری بیتکوین، اتر و دیگر رمزارزها را میدهد. همچنین میتواند از دسکتاپ کاربران عکس گرفته و مرورگر آنها را در دست بگیرد.
بعلاوه میتواند اطلاعات کارتهای اعتباری و Apple ID را که به فروشگاه اپل وصل میشوند و اطلاعات هویتی کروم ،پی پال و دیگر پلتفرمها را به سرقت ببرد.
تحقیقات بهعملآمده بیانگر این نکته هستند که اطلاعات به سرقت رفته اکثراً از منبع چین بودهاند و در رتبه بعدی با فاصله بسیار کم از هندوستان. گرچه اشخاص دیگری از کشورهایی مانند آمریکا، اوکراین، پاکستان و فیلیپین نیز قربانی شدهاند.
3) بهشکل باجافزار سنتی عمل میکند.
بدافزار XCSSET تعدادی ماژولهای خطرناک باجافزاری دارد که اکثراً غیرفعال باقی میمانند. اما اگر سیستم قربانی با ارزش تلقی شود (از دادههای سودمند و باارزشی برخوردار باشند)، میتوانند بهشکل بالقوه فعال شوند و باجخواهی کنند.
4) میتواند شبیه برنامههای سسیتمعامل مک نسخه 11 عمل کند.
بدافزار بهروز شده XCSSET با سیستمعامل مک سازگاری دارد و میتواند حربههای امنیتی آن را دور بزند.
این بدافزار بستههایی را از سرویسدهندهی کنترلکننده خود دریافت میکنند که دارای یک امضای تک منظوره هستند و به این وسیله این برنامههای تقلبی را اجرا میکند.
برای دانش بیشتر در مورد جزییات فنی این بدافزار میتوانید بلاگ Trend Micro را مطالعه کنید.
راهکارهایی برای جلوگیری از آلودگی سیستمعامل مک
از آنجایی که بدافزار XCSSET از طریق پروژههای تحت Xcode منتشر میشود، بنابراین توسعهدهندگان تنها باید از منابع مطمئن آن را دانلود کنند.
اما تنها توسعهدهندگان نیستند که در معرض آسیب قرار دارند. این بدافزار میتواند بهوسیله انتشار از طریق برنامههای تقلبی به کاربران عادی نیز لطمههای سنگینی وارد کند.
با توجه به پتانسیل ویرانگر بالای این بدافزار و محتوای مخرب آن، بهترین راهکار استفاده از یک آنتیویروس بهروز میباشد.
با مجهز کردن سیستم به یک آنتیویروس مطمئن و بهروز از انتشار و و لطمههای این بدافزار در امان خواهید بود.
خط مقدم دفاع از شما در مقابل حملات بدافزارها، استفاده از آنتی ویروسی است که قابلیت اطمینان بالایی داشته باشد و مدام به روزرسانی شود. ما در مجموعهی شیدافزار برای این نگرانی شما عزیزان، ضدویروس شید را پیشنهاد میکنیم.
موتورهای شناسایی بدافزار ضدویروس و امنیت اینترنتی شید، روزی دوبار با فهرستی از آخرین تهدیدهای شناسایی شده و خطرناک، بهروزرسانی میشوند. فقط کافیاست بدون هیچ ترسی رایانهی خودتان را به اینترنت متصل کنید.
در صوت تمایل به آشنایی با ضدویروسهای شید میتوانید روی تصویر زیر کلیک کنید.