در اینجا دلیل دیگری وجود دارد که چرا نباید نرم افزار کرک شده یا دزدی شده را در دستگاه های macOS خود دانلود کنید - بدافزاری در داخل آن پنهان شده است.
محققان امنیت سایبری از Kaspersky نسبت به یک بدافزار جدید که برای اکوسیستم اپل ساخته شده و در وبسایتهایی که ادعا میکنند برنامههای کرک شده را ارائه میکنند، هشدار میدهند.
قربانیان یک فایل PKG را دانلود میکردند و فکر میکردند که برای یک برنامه کرک شده که قبلا دانلود کردهاند فعالسازی میکنند. آنها PKG را در پوشه /Applications/ قرار می دهند، به عنوان بخشی از دستورالعمل برای "فعال کردن" قطعه کرک شده نرم افزار.
بدافزار macOS دوباره حمله می کند
در ظاهر، بدافزار طبق "در نظر گرفته شده" کار می کند - قربانی یک پنجره فعال ساز جعلی دریافت می کند که رمز عبور مدیر را می خواهد. مسلماً بدافزار با سرور فرمان و کنترل خود (C2) تماس می گیرد و اسکریپتی دریافت می کند که قادر به اجرای دستورات دلخواه در نقطه پایانی هدف است.
یک چیز جالب در مورد این بدافزار این است که چگونه با سرور C2 در URL صحیح تماس می گیرد - کلمات را از دو فهرست رمزگذاری شده بیرون می کشد و یک دنباله تصادفی از پنج حرف را به عنوان نام دامنه سطح سوم خود اضافه می کند. به این ترتیب، فعالیت های مخرب در ترافیک عادی پنهان می شود.
کسپرسکی توضیح داد : «با این URL، نمونه درخواستی از یک سرور DNS به عنوان تلاشی برای دریافت رکورد TXT برای دامنه ارسال کرد.
بار نهایی به مهاجمان انواع مزیت ها را می دهد، از دسترسی درب پشتی گرفته تا اطلاعات مربوط به سیستم در معرض خطر و موارد دیگر. از جمله، بدافزار به دنبال کیفپولهای بیتکوین Core و Exodus در دستگاههای در معرض خطر میگردد و در صورت یافتن آنها، کپیهای درپشتی را جایگزین آنها میکند. هنگامی که قربانی سعی می کند دوباره وارد کیف پول خود شود، تقریباً فورا وجوه خود را تخلیه می کند.
کسپرسکی همچنین بيان کرد که در حالی که در حال تحلیل این بدافزار بود، C2 با نسخه ارتقا یافته اسکریپت درب پشتی بازگشت که نشان دهنده توسعه مداوم است. کسپرسکی گفت، با این حال، اجرای فرمان هنوز در دسترس نبود و نشان میدهد که بدافزار هنوز در حال انجام است.
از طریق Bleeping Computer
ارسال نظر