بدافزار پروتون اینبار از طریق جعل وبسایت سیمانتک برای نفوذ به سیستمعامل مک بازگشتهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بدافزار پروتون برای سیستمعامل مک با یک روش جدید و غیرمعمول برگشتهاست. وبسایت امنیتی شرکت سیمانتک را جعل کرده و سپس این وبسایت جعلی را از طریق توییتر پخش کردهاست.
این وبسایت جعلی حاوی یک پست درباره یک نسخه جدید بدافزار CoinThief است که از سال ۲۰۱۴ میلادی شناسایی شدهاست. پس از انجام تجزیهوتحلیل مشخص شد که این پست یک برنامه به نام «ابزار تشخیص بدافزار سمانتک» را توزیع میکند؛ لازم به ذکر است که چنین برنامهای اصلا وجود ندارد و این برنامه چیزی جز بدافزار پروتون نیست.
علاوهبر اینکه این وبسایت دارای محتواست، آدرس URL آن نیز « symantecblog[dot]com» است که بسیار هوشمندانه انتخاب شدهاست. این مسائل باعث فریبخوردن کاربران میشود.
توماس رید (Thomas Reed)، مدیر بخش سیستمعامل مک و تلفن همراه در آزمایشگاه Malwarebytes گفت: «این نفوذگران وبسایت سیمانتک را بهخوبی جعل کردهاند، حتی محتوایی که در این وبسایت جعلی قرار دادهاند، مشابه وبسایت اصلی سیمانتک است. در نگاه اول به نظر میرسد که اطلاعاتی که برای ثبت این دامنه جعلی ارائه شده، قانونی است و از همان نام و آدرس مشابه با وبسایت سیمانتک قانونی استفاده شدهاست، اما ایمیلی که برای ثبت این دامنه جعلی مورد استفاده قرار گرفتهاست، باعث لو رفتن قضیه میشود.»
جالب توجه است که این وبسایت از یک گواهینامه قانونی SSL استفاده میکند، اما این گواهینامه توسط کومودو صادر شدهاست و نه خود شرکت سیمانتک.
در همین حال، پیوندهایی به این پست جعلی در توییتر در حال توزیع است. به نظر میرسد برخی از حسابهای کاربری که این پیوند را منتشر میکنند، حساب جعلی هستند، اما برخی از حسابها نیز به نظر قانونی میرسند.
توماس رید میگوید: «با توجه به این حقیقت که هدف اصلی بدافزار پروتون سرقت گذرواژههاست، این بدافزار میتواند به حسابهای کاربری که گذرواژه آنها در حملات قبلی این بدافزار تحت تاثیر قرار گرفتهاند، نفوذ کند. با این حال، ممکن است این حسابهای کاربری قانونی افرادی باشند که فریب خوردهاند و فکر میکنند که این پست وبلاگ جعلی، واقعی است.»
کاربرانی که برنامه «ابزار تشخیص بدافزار سیمانتک» بارگیری و اجرا میکنند، تحتتاثیر بدافزار پروتون قرار میگیرند. سپس این بدافزار به منظور جمعآوری اطلاعات شروع به کار میکند و گذرواژه کاربر را در قالب متن اصلی ثبت کرده و همراه با دیگر اطلاعات شخصی قابل شناسایی (PII) به یک پرونده مخفی ارسال میکند. این بدافزار همچنین اطلاعات دیگری مانند پروندههای keychain، دادههایی که بهصورت خودکار توسط مرورگر پر میشوند و گذرواژههای GPG را جمعآوری کرده و از شبکه خارج میکند. از آنجایی که این بدافزار گذرواژههای کاربر را جمعآوری میکند، نفوذگرانی که پشت این بدافزار هستند، میتوانند حداقل پروندههای keychain را رمزگشایی کنند.
رید گفت: «شرکت اپل از وجود این بدافزار آگاه است و گواهینامهای که برای امضای این بدافزار مورد استفاده قرار گرفتهاست را ابطال کرده تا بتواند در آینده از تاثیرات مخرب ابزار تشخیص بدافزار سیمانتک جلوگیری کند. با این وجود، این اقدام به دستگاهی که در حال حاضر تحتتاثیر این بدافزار قرار گرفته، کمکی نمیکند.»
این پژوهشگر گفت: «از آنجایی که بدافزار پروتون برای سرقت اطلاعات ورود به سامانه طراحی شدهاست، لازم است درصورتیکه تحتتاثیر قرار گرفتهاید چند اقدام اضطراری انجام دهید. شما باید فرض کنند که تمام گذرواژههای برخط تحت تاثیر قرار گرفتهاند و همه این گذرواژهها را تغییر دهید. همچنین باید اطمینان حاصل کنید تا زمانی که تحتتاثیر این بدافزار قرار دارید در تمام وبسایتها از گذرواژههای متفاوتی استفاده کرده و از یک برنامه مدیریت گذرواژه (مانند 1Password یا LastPass) برای نگهداری از این گذرواژهها استفاده کنید. از آنجایی که مخزنهای برنامه ۱Password یکی از اهداف برنامه پروتون است، به هیچ وجه گذرواژه اصلی برنامه مدیریت گذرواژه را در این برنامه یا هیچ جای دیگر در رایانه آسیبدیده ذخیره نکنید. این تنها گذرواژهای است که شما باید آن را به خاطر بسپارید و این گذرواژه باید یک گذرواژه قوی باشد.»
کاربران همچنین باید احراز هویت دو مرحلهای را فعال کنند.