تروجانی كه كاربران Mac را هدف گرفته است

[ttrasn]

تروجانی به نام Imuler.C خود را در قالب فایلهای تصویری برای كاربران Mac جا میزند.

محققان امنیتی شركت Intego یك نمونه جدید از تروجان Imuler را كشف كرده اند كه كاربران Mac OS X را هدف قرار داده است.
این نسخه اخیر تروجان Imuler.C سعی میكند كاربران را با این تصور كه در حال دانلود و سپس مشاهده فایلهای تصویری هستند، فریب دهد. این تروجان با استفاده از فایلهای آرشیوی zip با نامهای Pictures and the Ariticle of Renzin Dorjee.zip و FHM Feb Cover Girl Irina Shayk H-Res Pics.zip منتشر میگردد.
به گفته محققان، نویسندگان این بدافزار با تكیه بر یك تاكتیك شناخته شده مهندسی اجتماعی و تنظیمات پیش فرض Mac OS X كار میكنند كه در آن پسوند كامل فایل به طور پیش فرض نمایش داده نمیشود، چرا كه از آیكونهای تصویری برای فایلها استفاده می­گردد.
زمانی كه این بدافزار اجرا میشود، كارهای زیر را انجام میدهد:
این بدافزار یك در پشتی را به همراه سایر فایلها در /tmp/.mdworker نصب مینماید. سپس یك پروسه به نام .mdworker آغاز می­گردد، این پروسه توسط Spotlight برای فهرست كردن فایلها مورد استفاده قرار میگیرد. یك فایل launchagent نیز به همراه یك فایل اجرایی در ~/library/LaunchAgents/chechvir.plist نصب میشود كه اطمینان ایجاد میكند كه زمانی كه كاربر به سیستم خود وارد میشود یا آن را راه اندازی مینماید، بدافزار اجرا میگردد. پس از یك راه اندازی مجدد، پروسه .mdworker حذف میگردد و فایل اجرای checkvir آغاز میشود. این بدافزار داده های كاربر را جستجو میكند و سعی میكند آن را بر روی یك سرور بارگذاری نماید. این بدافزار همچنین تصویر صفحه نمایش كاربر را ضبط كرده و برای سرور ارسال مینماید. این بدافزار یك شناسه یكتا برای یك سیستم Mac تولید میكند تا بین این سیستم و داده های جمع آوری شده، ارتباط برقرار نماید. مشاهده شده است كه این بدافزار فعال بوده و با اتصال به یك سرور راه دور، فایلهای اجرایی جدید را دانلود میكند.
به كاربران توصیه شده است كه ویژگی نمایش پسوند فایل را فعال نمایند تا تفاوت بین فایلهای تصویری واقعی و فایلهای اجرایی (مانند تروجان Imuler.C) را مشاهده نمایند. همچنین كاربران باید فایلهای مشكوك را به سرویس VirusTotal معرفی كنند تا اطمینان حاصل نمایند كه گرفتار بدافزار نشده اند.

منبع:certcc