را در کد ماشین کامپیوتر بزرگ می کند" class=" block-image-ads hero-image" onerror="if(this.src && this.src.indexOf('missing-image.svg') !== -1){return true;};this.parentNode.replaceChild(window.missingImage(),this)" srcset="https://cdn.mos.cms.futurecdn.net/tfTPM2h23pWZ3334EbhVKT-320-80.jpg 320w, https://cdn.mos.cms.futurecdn.net/tfTPM2h23pWZ3334EbhVKT-480-80.jpg 480w, https://cdn.mos.cms.futurecdn.net/tfTPM2h23pWZ3334EbhVKT-650-80.jpg 650w, https://cdn.mos.cms.futurecdn.net/tfTPM2h23pWZ3334EbhVKT-970-80.jpg 970w, https://cdn.mos.cms.futurecdn.net/tfTPM2h23pWZ3334EbhVKT-1024-80.jpg 1024w, https://cdn.mos.cms.futurecdn.net/tfTPM2h23pWZ3334EbhVKT-1200-80.jpg 1200w, https://cdn.mos.cms.futurecdn.net/tfTPM2h23pWZ3334EbhVKT-1920-80.jpg 1920w" sizes="(min-width: 1000px) 600px, calc(100vw - 40px)" data-pin-media="https://cdn.mos.cms.futurecdn.net/tfTPM2h23pWZ3334EbhVKT.jpg">محققان امنیت سایبری از Jamf Threat Labs یک بدافزار جدید را کشف کرده اند که کاربران macOS را هدف قرار می دهد.
این بدافزار ، اگرچه نامش فاش نشده است، اما شباهت های زیادی با کد مخرب دیگری که در سال 2021 کشف شد، به نام ZuRu، دارد.
در یک گزارش مفصل، محققان گفتند که این بدافزار در سه نرمافزار مجزا و غیرقانونی پنهان شده بود. این نرمافزار، از جمله Microsoft Remote Desktop، در یک وبسایت چینی یافت شد که پیوندهایی به برنامههای غیرقانونی مختلف ارائه میدهد.
روح زورو
اگر کاربر هر یک از برنامههای در معرض خطر را دانلود و اجرا کند، بدافزار چندین بار را در پسزمینه دانلود و اجرا میکند. این پیلودها همگی وظایف مختلفی دارند، از خدمت به عنوان یک قطره چکان، درپشتی بودن، تا کار به عنوان یک دانلودکننده دائمی برای ارائه بارهای مخرب اضافی.
بدیهی است که اهداف، کاربران macOS چینی هستند، مشابه آنچه که ZuRu سه سال پیش انجام داد.
در سال 2021، محققان امنیت سایبری از Objective-See و Trend Micro مشاهده کردند که ZuRu در نسخههای غیرقانونی برنامههایی مانند iTerm، SecureCRT، Navicat Premium و Remote Desktop Client پنهان شده است. افرادی که این برنامهها را دانلود کردهاند، دریافتند که آنها طبق برنامه کار میکنند، اما از این واقعیت که یک اسکریپت پایتون در پسزمینه اجرا میشود غافل بودند.
این اسکریپت داده های حساس را از نقطه پایانی قربانی سرقت کرده و آنها را به سرور فرمان و کنترل (C2) که توسط مهاجمان استفاده می شود ارسال می کند.
محققان Jamf میگویند: «ممکن است این بدافزار جانشین بدافزار ZuRu با توجه به برنامههای هدفمند، دستورات بار اصلاحشده و زیرساختهای مهاجم باشد.
محققان همچنین اضافه کردند که نرم افزار دزدان دریایی مکانی عالی برای مخفی کردن بدافزار است، زیرا کاربران می دانند که آنها درگیر فعالیت های غیرقانونی هستند و انتظار دارند که برنامه های آنتی ویروس آنها پرچمی را بالا ببرند. آنها به این نتیجه رسیدند: «این باعث میشود که آنها مایل باشند از هر گونه هشدار امنیتی ساخته شده در سیستم عامل مانند Gatekeeper که به کاربر اطلاع میدهد این برنامهها برای باز کردن امن نیستند، بگذرند.
پس ، بهترین راه برای محافظت در برابر چنین تهدیداتی، سرقت و دانلود نرم افزارهای دزدی در وهله اول نیست.
ارسال نظر