استفاده از یک برنامه راه نفوذ مخفی در Mac OS X

در گذشته گروه GRFE به گروه هکری سوء استفاده کننده از آسیب پذیری های zero-day شهرت داشته است. این گروه از آسیب پذیری هایی سوء استفاده می کنند که در زمان حمله اصلاحیه ای برای آن ها وجود ندارد.

اخیرا گروهی از هکرها با استفاده از یک برنامه راه نفوذ مخفی سیستم های Mac OS X را هدف حمله قرار داده اند.

تکنــــــــــــــازدانلود: به نقل از ماهر, محققان شرکت امنیتی FireEye در پستی در وبلاگ نوشتند: کد راه نفوذ مخفی سیستم های مکینتاش از راه نفوذ مخفی ویندوز که در چند سال اخیر در حملات هدفمند مورد استفاده قرار گرفته است و چندین مرتبه ارتقاء یافته است، استخراج شده است.

این برنامه مخرب XSLCmd نامیده می شود و قادر است فایل ها را فهرست کرده و انتقال دهد و بدافزارهای دیگری را بر روی رایانه آلوده نصب نماید.انواع OS X می توانند ضربات صفحه کلید را ثبت نمایند و هم چنین از صفحه تصویر برداری نمایند.

هنگامی که این بدافزار بر روی سیستم مکینتاش نصب می شود خودش را در آدرس های /Library/Logs/clipboard و $HOME/Library/LaunchAgents/clipboard کپی می کند. یک فایل com.apple.service.clipboardd.plist را نیز ایجاد می کند تا اطمینان یابد پس از بوت شدن مجدد سیستم این فایل اجرا می شود.

هم چنین این بدافزار حاوی کدی است که نسخه OS X را تشخیص می دهد اما قادر به تشخیص نسخه های بالاتر از ۱۰٫۸ نیست. ممکن است زمانی که این بدافزار نوشته شده است نسخه ۱۰٫۸ بالاترین نسخه مکینتاش بوده است.

راه نفوذ مخفی XSLCmd ایجاد شد و بدین ترتیب توسط گروه های جاوسوسی سایبری با نام GRFE که از سال ۲۰۰۹ فعال می باشند مورد استفاده قرار می گیرد. این گروه تاکنون سازمان های زیادی را هدف حملات خود قرار داده است از جمله می توان سازمان دفاعی امریکا، شرکت های جهانی مهندسی و الکترونیک و موسسات و NGOها را نام برد.

در گذشته گروه GRFE به گروه هکری سوء استفاده کننده از آسیب پذیری های zero-day شهرت داشته است. این گروه از آسیب پذیری هایی سوء استفاده می کنند که در زمان حمله اصلاحیه ای برای آن ها وجود ندارد.

این نوع جدید بدافزار XSLCmd از آخرین برنامه های راه نفوذ مخفی برای Mac OS X می باشد که در چندین سال اخیر توسط مجرمان سایبری علیه این سیستم ها استفاده شده است.