یک محقق امنیتی هفته گذشته یک وبلاگ جعلی سیمانتک را کشف کرد که گسترش یک نوع جدید از بدافزار دزدی پسورد OSX.Proton می باشد.
به گفته محققان اطلاعات ثبت نام در دامنه در نگاه اول قانونی به نظر می رسد، زیرا از همان نام و آدرس به عنوان سایت Symantec استفاده می کند، اما آدرس ایمیل مورد استفاده برای ثبت نام دامنه یک ایمیل مرموز با یک گواهی قانونی SSL توسط Comodo به جای گواهینامه Symantec است.
محتوای این وبسایت جعلی نیز مانند سایت اصلی Symantec می باشد. این وبسایت ، یک برنامه به نام ” Symantec Malware Detector ” را پیش بینی کرده است که ظاهرا برای شناسایی و حذف بدافزارهایی است که واقعا وجود ندارد و بدین منظور کاربران را مجبور به دانلود آن می کند.
در واقع Symantec Malware Detector، نرم افزاری است که عملا وجود ندارد. و از طریق لینکهایی در توییت های ارسال شده از حسابهای جعلی که برای بقیه قانونی و درست به نظر می رسد، گسترش می یابد.
محققان خاطر نشان کردند این بدافزار که به منظور سرقت گذرواژه طراحی شده است، از حسابهای مشروعی با رمزعبورهایی که قبلا توسط نرم افزارهای مخرب به سرقت رفته اند، استفاده می کند.
Symantec Malware Detector در واقع بدافزار OSX.Proton است که به نظر می رسد رمز عبور ادمین را به صورت یک فایل متنی به همراه دیگر اطلاعات احراز هویت همچنین کپچرها و موارد حیاتی دیگری مثل فایل زنجیره کلیدها، اطلاعات فیلدهایی در مرورگر که به صورت خودکار ذخیره و پر می شوند، اسناد 1password وپسوردهای GPG، سرقت می کند.
هنگامی که کاربری اقدام به اجرای این اپلیکیشن جعلی می کند، پنجره ای ساده با لوگوی Symantec نمایش داده می شود که کاربر را مجبور به کلیک روی دکمه Check می کند و سپس از او رمز عبور ادمین را میخواهد و نرم افزار مخرب را نصب می کند.
محققان اشاره کرده اند که چنانچه کاربری اقدام به خروج از اپلیکیشن کند بدون اینکه روی دکمه check کلیک کند، بدافزاری نصب نخواهد شد اما با توجه به محتوای متقاعد کننده پنجره باز شده بعید به نظر می رسد که کاربری روی دکمه check کلیک نکند.
همچنین محققین اضافه کرده اند که چنانچه کاربران بخواهند از صحت اپلیکیشن دانلود شده مطمئن شوند، باید کد امضای اپلیکیشن را بررسی نمایند، اگر توسط شخصی به نام Sverre Huseby و با استفاده از گواهی ای با تیم شناسایی E224M7K47W امضا شده باشد، باید به عنوان نرم افزار مخرب در نظر گرفته شود.
بدافزارها را می توان با استفاده از راه حل های امنیتی حذف کرد اما کاربران باید اطمینان حاصل کنند که عملیات اضطراری بعد از آلودگی مانند تغییر پسوردهای آنلاین خود و همچنین گواهینامه هایی که اعتبار آنها ممکن است به خطر افتاده باشد، را به درستی انجام داده اند.
یکی از سخنگویان Symantec تایید کرده است که symantecblog.com و symanteceurengine.com ویژگی های Symantec قانونی را ندارند و جعلی هستند و تلاش خود را برای حذف این دو سایت کرده اند که تا به حال symantecblog.com حذف شده است.
منبع : https://www.scmagazine.com