بدافزار پروتون این‌بار از طریق جعل وب‌سایت سیمانتک برای نفوذ به سیستم‌عامل مک بازگشته‌است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بدافزار پروتون برای سیستم‌عامل مک با یک روش جدید و غیرمعمول برگشته‌است. وب‌سایت امنیتی شرکت سیمانتک را جعل کرده و سپس این وب‌سایت جعلی را از طریق توییتر پخش کرده‌است.

این وب‌سایت جعلی حاوی یک پست درباره‌ یک نسخه‌ جدید بدافزار CoinThief است که از سال ۲۰۱۴ میلادی شناسایی شده‌است. پس از انجام تجزیه‌و‌تحلیل مشخص شد که این پست یک برنامه به نام «ابزار تشخیص بدافزار سمانتک» را توزیع می‌کند؛ لازم به ذکر است که چنین برنامه‌ای اصلا وجود ندارد و این برنامه چیزی جز بدافزار پروتون نیست.

علاوه‌بر اینکه این وب‌سایت دارای محتواست، آدرس URL آن نیز « symantecblog[dot]com» است که بسیار هوشمندانه انتخاب شده‌است. این مسائل باعث فریب‌خوردن کاربران می‌شود.

توماس رید (Thomas Reed)، مدیر بخش سیستم‌عامل مک و تلفن همراه در آزمایشگاه Malwarebytes گفت:‌ «این نفوذگران وب‌سایت سیمانتک را به‌خوبی جعل کرده‌اند، حتی محتوایی که در این وب‌سایت جعلی قرار داده‌اند، مشابه وب‌سایت اصلی سیمانتک است. در نگاه اول به نظر می‌رسد که اطلاعاتی که برای ثبت این دامنه‌ جعلی ارائه شده، قانونی است و از همان نام و آدرس مشابه با وب‌سایت سیمانتک قانونی استفاده شده‌است، اما ایمیلی که برای ثبت این دامنه‌ جعلی مورد استفاده قرار گرفته‌است، باعث لو رفتن قضیه می‌شود.»

جالب توجه است که این وب‌سایت از یک گواهی‌نامه‌ قانونی SSL استفاده می‌کند، اما این گواهی‌نامه توسط کومودو صادر شده‌است و نه خود شرکت سیمانتک.

در همین حال، پیوند‌هایی به این پست جعلی در توییتر در حال توزیع است. به نظر می‌رسد برخی از حساب‌های کاربری که این پیوند را منتشر می‌کنند، حساب جعلی هستند، اما برخی از حساب‌ها نیز به نظر قانونی می‌رسند.

توماس رید می‌گوید: «با توجه به این حقیقت که هدف اصلی بدافزار پروتون سرقت گذرواژه‌هاست، این بدافزار می‌تواند به حساب‌های کاربری که گذرواژه‌ آنها در حملات قبلی این بدافزار تحت تاثیر قرار گرفته‌اند، نفوذ کند. با این حال، ممکن است این حساب‌های کاربری قانونی افرادی باشند که فریب خورده‌اند و فکر می‌کنند که این پست وبلاگ جعلی، واقعی است.»

کاربرانی که برنامه‌ «ابزار تشخیص بدافزار سیمانتک» بارگیری و اجرا می‌کنند، تحت‌تاثیر بدافزار پروتون قرار می‌گیرند. سپس این بدافزار به منظور جمع‌آوری اطلاعات شروع به کار می‌کند و گذرواژه‌ کاربر را در قالب متن اصلی ثبت کرده و همراه با دیگر اطلاعات شخصی قابل شناسایی (PII) به یک پرونده‌ مخفی ارسال می‌کند. این بدافزار همچنین اطلاعات دیگری مانند پرونده‌های keychain، داده‌هایی که به‌صورت خودکار توسط مرورگر پر می‌شوند و گذرواژه‌های GPG را جمع‌آوری کرده و از شبکه خارج می‌کند. از آن‌جایی که این بدافزار گذرواژه‌های کاربر را جمع‌آوری می‌کند، نفوذگرانی که پشت این بدافزار هستند، می‌توانند حداقل پرونده‌های keychain را رمزگشایی کنند.

رید گفت: «شرکت اپل از وجود این بدافزار آگاه است و گواهی‌نامه‌ای که برای امضای این بدافزار مورد استفاده قرار گرفته‌است را ابطال کرده تا بتواند در آینده از تاثیرات مخرب ابزار تشخیص بدافزار سیمانتک جلوگیری کند. با این وجود، این اقدام به دستگاهی که در حال حاضر تحت‌تاثیر این بدافزار قرار گرفته، کمکی نمی‌کند.»

این پژوهشگر گفت: «از آنجایی که بدافزار پروتون برای سرقت اطلاعات ورود به سامانه طراحی شده‌است، لازم است در‌صورتی‌که تحت‌تاثیر قرار گرفته‌اید چند اقدام اضطراری انجام دهید. شما باید فرض کنند که تمام گذرواژه‌های برخط تحت تاثیر قرار گرفته‌اند و همه‌ این گذرواژه‌ها را تغییر دهید. همچنین باید اطمینان حاصل کنید تا زمانی که تحت‌تاثیر این بدافزار قرار دارید در تمام وب‌سایت‌ها از گذرواژه‌های متفاوتی استفاده کرده و از یک برنامه‌ مدیریت گذرواژه (مانند 1Password یا LastPass) برای نگهداری از این گذرواژه‌ها استفاده کنید. از آنجایی که مخزن‌های برنامه‌ ۱Password یکی از اهداف برنامه‌ پروتون است، به هیچ وجه گذرواژه‌ اصلی برنامه‌ مدیریت گذرواژه‌ را در این برنامه یا هیچ جای دیگر در رایانه‌ آسیب‌دیده ذخیره نکنید. این تنها گذرواژه‌ای است که شما باید آن‌ را به خاطر بسپارید و این گذرواژه باید یک گذرواژه‌ قوی باشد.»

کاربران همچنین باید احراز هویت دو مرحله‌ای را فعال کنند.