به گفته ي شركت هاي امنيتي، با وجود اين كه كد تروجان اوليه است، هنوز نمي تواند وصل شده و سرور را كنترل كند.

امروز شركت هاي امنيتي به كاربران مك در ارتباط با اسب تروجاني هشدار دادند كه به شكل يك فايل PDF، مخفيانه حمله مي كند.

بدافزار، كه توسط شركت سوفوس انگليسي و شركت خدمات آنتي ويروس فنلاندي F-Secure شناسايي شده است، از روشي استفاده مي كند كه مدت ها توسط حمله كنندگان به ويندوز استفاده شده است.

شركت F-Secure امروز گفت: «اين بدافزار ممكن است از روش به كار رفته توسط بدافزار ويندوز (كه از يك فايل PDF استفاده مي كرد كه حاوي يك دستورالعمل اجرايي pdf.exe و شكل PDF داشت) استفاده مي كند».

اين كار از طريق استفاده از كلكي به نام «دو پسوندي» انجام مي شود، به اين صورت كه “.pdf” را به آخر نام فايل اضافه مي كنند تا با فايل PDF اشتباه شود.

بدافزار مك از فرآيند دو مرحله اي استفاده مي كند كه متشكل از يك “اندازنده”ي تروجان است (ابزاري كه عنصر دوم را داونلود مي كند)، و يك تروجان “پشت در” كه به سروري متصل مي شود كه توسط هكرها كنترل مي شود. هكرها با استفاده از اين مجراي ارتباطي، اطلاعات را از سيستم مك آلوده شده به دست مي آورند و دستورات عملياتي شان را به آن مي فرستند.

از آنجاييكه اين در سيستم Mac OS X تهديد محسوب نمي شود، به جاي آن، بدافزار افراد ساده را گول مي زند تا فايل PDF معيوب كه در حقيقت يك فايل اجرايي است را داونلود كرده، اجرا كنند.

وقتي كه اجرا شد، اندازنده قسمت دوم را داونلود مي كند و يك فايل PDF به زبان چيني باز مي كند. به گفته ي F-Secure، اين فايل PDF يك كلك ديگر است. اين شركت در ارتباط با توضيح اين نوع حمله گفت: «(اندازنده) يك فايل PDF در پوشه ي temp مي اندازد، سپس آن را باز مي كند تا حواس كاربر را از اتفاقات ديگر پرت كند».

هر دوي شركت هاي سوفوس و F-Secure متوجه شدند كه بدافزار به طور كامل كار نمي كند، و در حال حاضر نمي تواند به سرور دستور و كنترل (C&C) وصل شود، چرا كه كاملا فعال نيست.

بدافزارهاي مك در مقايسه با حملات انجام شده به ويندوز، اوليه هستند.

از آنجاييكه سرور C&C در حال حاضر به طور كامل فعال نيست، و نمونه هايي از اين تروجان در VirusTotal (خدمت رايگاني كه بدافزارها را در قبال موتورهاي جستجوي ويروس اجرا مي كند) پيدا شده است، به نظر F-Secure اين بدافزار هنوز در مرحله ي آزمايشي است.

با وجود اين كه سيستم عامل مَكِ اَپِل داراي شناساگر آنتي ويروس بِيْر بوُنْزْ است، ولي هنوز جهت شناسايي اين بدافزار به روز نشده. به عنوان مثال، با سر زدن به مراجع كامپيوترهاي مك مي توان ديد كه اپل آخرين بار، 9 آگوست شناساگر خود را به روز كرده است.

كاربران مك بزرگترين ترس از بدافزار را اول امسال، وقتي كه مجموعه اي از برنامه هاي امنيتي قلابي آن ها را مورد حمله قرار داد، تجربه كردند.

چندين شركت آنتي ويروس، از جمله سوفوس، F-Secure، و اينتِگو، براي مك، نرم افزار امنيت ارائه مي كنند.

منبع: computerworld

منبع تصوير: zdnet