بدافزار CrashStealer در مک از dropper تأییدشده برای رد شدن از بررسیهای Gatekeeper استفاده میکند
محققان امنیتی شرکت Jamf یک بدافزار اطلاعاتربای تازه به نام CrashStealer را روی مکاواس کشف کردند. برخلاف ابزارهای مشابه که با اسکریپتهای اپلاسکریپت کار میکنن، این بدافزار با C++ بومی نوشته شده و از یک نصبکننده تأییدشده توسط اپل استفاده میکنه تا از فیلتر امنیتی گیتکیپر عبور کنه. قبل از ارسال اطلاعات سرقتشده، رمز عبور کاربر رو به صورت محلی بررسی میکنه تا مطمئن بشه قربانی واقعی هست.
چرا مهمه؟
CrashStealer نشون داده که بدافزارنویسها تونستن سیستم تأیید اپل (Notarization) رو دور بزنن. قبلاً کاربران مک میتونستن با اتکا به گیتکیپر خیالشون راحت باشه، ولی حالا یه بدافزار تأییدشده وارد سیستم میشه بدون هشدار. کاربران خانگی و سازمانهایی که از مک استفاده میکنن مستقیماً در خطرن، چون نشونههای هشداردهندهی معمول وجود نداره.
به درد کی میخوره؟
کاربران مکاواس متخصصان امنیت سایبری تیمهای فناوری اطلاعات سازمانی مدیران زیرساخت
تو عمل چی کار کنیم؟
کاربران مک باید بیشتر مراقب نرمافزارهایی باشن که نصب میکنن، حتی اگه از فروشگاه رسمی یا با تأیید اپل دانلود شده باشن. سازمانها لازمه سیاستهای امنیتی دستگاههای مک رو بازبینی کنن و ابزارهای تشخیص رفتار مشکوک رو فعالتر کنن. رمز عبور قویتر و احراز هویت دومرحلهای هم میتونه جلوی بخشی از آسیبها رو بگیره.
نظر Blue IT News
سیستم تأیید اپل قرار بود محافظ نهایی کاربران مک باشه، ولی CrashStealer ثابت کرد که هیچ سپر امنیتی شکستناپذیر نیست. به کاربران مک توصیه میکنم به جای اتکای کورکورانه به Gatekeeper، عادت کنن هر نرمافزاری رو قبل از نصب از منابع معتبر بررسی کنن.