شرکت ای‌ست هشدار می‌دهد، ابزار دسترسی از راه دور پروتون که اوایل سال ۲۰۱۷ میلادی ظهور کرد، دوباره یک کانال قانونی را برای توزیع شدن به خطر انداخته است. ماه مارس سال جاری کشف شد که، پروتون برای اجرای دستور بش تحت ریشه، ثبت کلیدهای فشرده شده، بارگیری یا بارگذاری پرونده‌ها از یا به ماشین قربانی، سرقت صفحه‌ی نمایش یا نفوذ در وب‌کم، دریافت به‌روزرسانی‌ها، و همچنین ارسال اعلان‌ها به مهاجم طراحی شده است. این بدافزار همچنین می‌تواند به مهاجم کمک کند تا از طریق SSH یا VNC به ماشین هدف متصل شود.

ماه می، متصدیان بدافزار توانستند یک وبگاه بارگیری از ابزار محبوب تبدیل ویدئو به نام HandBrake را به خطر بیندازند و آن را پیکربندی کنند تا ابزار دسترسی از راه دور از طریق نسخه‌ی تروجان شده‌ی این برنامه‌ی قانونی توزیع شود. در حال حاضر مهاجمان توانسته‌اند به اِتیما که سازندگان نرم‌افزار اِلمدیا پلیر هستند، نفوذ کنند و باینری‌های برنامه‌ی قانونی را که برای بارگیری در دسترس است را با تکرارهای تروجان‌شده‌ جایگزین کنند. بنابراین، اِلتیما به توزیع بدافزار OSX/Proton از طریق وب‌گاه رسمی خود پایان داد. شرکت ای‌ست می‌گوید، این حمله روز پنج‌شنبه ۱۹ اکتبر مشاهده شد و اِلتیما در عرض چند ساعت پس از آگاهی از این حادثه، توانست باینری‌های برنامه‌ی تحت تاثیر را پاک کند.

تمام کاربرانی که اخیرا نرم‌افزار اِلمدیا پلیر را بارگیری کرده‌اند باید سامانه‌ی خود را برای آسیب‌های احتمالی بررسی کنند. برای این منظور، آن‌ها باید حضور پرونده‌ها یا فهرست‌های راهنما که شامل /tmp/Updater.app/ ،/Library/LaunchAgents/com. Eltima.UpdaterAgent.plist ،/Library/.rand/ و /Library/.rand/updateragent.app/ هستند را بررسی کنند. شرکت ای‌ست اشاره کرد: «اگر هریک از این پرونده‌ها موجود بود، به این معنی است که برنامه‌ی اِلمدیا پلیر تروجان‌شده اجرا شده است و به احتمال زیاد OSX/Proton در حال اجراست.» ظاهرا فقط نسخه‌ای از این برنامه که از طریق وب‌گاه شرکت بارگیری می‌شود آسیب‌دیده، در حالی‌که نسخه‌ای که از طریق سازوکار به‌روزرسانی خودکار موجود، توزیع می‌شود، تحت تاثیر قرار نگرفته است.

این بدافزار پس از نصب در یک ماشین به خطر افتاده، می‌تواند جزئیات سامانه‌ عامل، اطلاعات مرورگرهای کروم، سافاری، اُپرا، و فایرفاکس، داده‌های محرمانه‌ی SSH، داده‌های برنامه‌ی keychain مک، پیکربندی VPN تونل‌بلیک، داده‌های GnuPG، داده‌های برنامه‌ی ۱Password، و فهرستی از تمام برنامه‌های نصب‌شده را به سرقت ببرد. متصدیان پروتون تنها مجرمان سایبری نیستند که تلاش می‌کنند از طریق حملات زنجیره‌ی تامین کاربران را تحت تاثیر قرار دهند. سال گذشته، کارخواه انتقال بیت‌تورنت مک دوبار مورد نفوذ قرار گرفت تا باج‌افزار OSX/KeRanger و سارق گذرواژه‌ی OSX/Keydnap را توزیع کند.

یکی دیگر از حوادثی که جهان را تحت تاثیر قرار داد، نفوذ به فرآیند به‌روزرسانی‌کننده‌ی نرم‌افزار حسابداری مالیاتی MEDoc برای توزیع پاک‌کننده‌ی نات‌پتیا بود. این بدافزار به سرعت در سازمان‌های سراسر جهان توزیع شد و در نتیجه‌ی این حمله میلیون‌ها دلار از دست رفت، زیرا برخی از سازمان‌ها قادر به بازیابی داده‌ها پس از این حادثه نبودند.

کانال اخبار فناوری اطلاعات نماد امن

منبع: asis

درباره نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

حمله‌ی زنجیره‌ی تامین و توزیع تروجان دسترسی از راه دور در سامانه‌های مک

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *