یک بدافزار که با اقداماتی چون هدف قرار دادن سیستم عامل macOS شناخته میشد، بار دیگر به روز شده است تا ویژگی های بیشتری را به مجموعه حملات خود اضافه کند. این ویژگی های جدید به مهاجم امکان می دهد داده های حساس ذخیره شده در برنامه های مختلف از جمله برنامه هایی مانند Google Chrome و Telegram را به عنوان بخشی از امکانات جدید خود با نام "اصلاحات در تاکتیک ها"، جمع آوری کرده و یا حتی از بین ببرد.

بدافزار XCSSET در ماه آگوست سال 2020 و زمانی که مشخص شد هدفگیری توسعه دهندگان Mac با استفاده از یک روش غیر معمول توزیع که شامل تزریق دیتای مخرب به پروژه های Xcode IDE‍یست که در زمان ساخت پرونده های پروژه در Xcode اجرا شده است، کشف شد.

این بدافزار دارای قابلیت های بی شماری از جمله خواندن و دامپینگ کوکی های Safari، تزریق کد مخرب جاوا اسکریپت به وب سایت های مختلف، سرقت اطلاعات از برنامه هایی مانند Notes ،WeChat ،Skype ،Telegram و رمزگذاری فایل های کاربر است.

به نقل از هکر نیوز، اوایل آوریل امسال، XCSSET یک ارتقا و برزورسانی را دریافت کرد که به کدنویسان بدافزار امکان می دهد macOS 11 Big Sur و همچنین Mac هایی را که با چیپ ست M1 کار می کنند، با دور زدن پالیسی های امنیتی جدیدی که اپل در جدیدترین سیستم عامل ایجاد کرده است، هدف قرار دهند.

محققان Trend Micro قبلاً اشاره کرده بودند که: "این بدافزار اوپن تول خود را از سرور C2 متعلق به خود که از قبل با امضای ad-hoc امضا شده را دانلود میکند؛ در حالی که اگر در نسخه های MacOS نسخه 10.15 و پایین تر بود، همچنان برای اجرای برنامه ها از اوپن کامند داخلی سیستم استفاده می کرد".

بر اساس نوشته جدیدی که روز پنجشنبه توسط شرکت امنیت سایبری منتشر شد، مشخص گردید که XCSSET یک فایل مخرب AppleScript را برای فشرده سازی فولدر حاوی داده های تلگرام ("~ / Library / Group Containers / 6N38VWS5BX.ru.keepcoder.Telegram") ) را در یک فایل بایگانی ZIP و قبل از بارگذاری آن در یک سرور از راه دور تحت کنترل مهاجمین، اجرا مینماید. و به متعاقب آن عامل تهدید را قادر می سازد با استفاده از حساب های قربانی وارد سیستم شود.

با استفاده از گوگل کروم، بدافزار سعی می کند رمزهای عبور ذخیره شده در مرورگر وب را که به نوبه خود با استفاده از یک رمز عبور اصلی به نام "کلید ذخیره سازی امن" رمزگذاری می شوند، را دزدیده و با سواستفاده از مجوزهای جعلی، کاربر را به اعطای اختیارات اصلی از طریق دیالوگ باکس جعلی، برای اجرای یک دستور shell غیرمجاز جهت بازیابی رمز اصلی از iCloud Keychain، که تحت آن محتویات رمزگشایی شده و به سرور منتقل می شوند، ترغیب نماید.

جدا از کروم و تلگرام، XCSSET همچنین با بازیابی داده های گفته شده از فهرست های sandbox مربوطه خود، توانایی به سرقت بردن اطلاعات ارزشمند از برنامه های مختلف مانند Evernote ،Opera ،Skype ،WeChat و برنامه های تماس و یادداشت های خود اپل را نیز دارد.

محققان اعلام کرده اند: "کشف چگونگی سرقت اطلاعات از برنامه های مختلف، درجه و میزان تلاش بدافزار برای سرقت انواع متنوع اطلاعات از سیستم های آسیب دیده را برجسته می کند".

یک بدافزار شناخته شده که به سرقت اطلاعات حساس از تجهیزات های ویندوزی معروف است، اکنون به یک توانایی جدید دست پیدا کرده و می تواند سیستم عامل MacOS اپل را نیز هدف قرار دهد.

این بدافزار بروزرسانی شده، "XLoader" نام دارد و جانشین دیگری برای بدافزار معروف مبتنی بر ویندوز سرقت اطلاعات به نام Formbook است که با اقداماتی همچون سرقت اعتبارنامه ها مرورگرهای مختلف وب، ضبط تصاویر از صفحه، ضبط اطلاعات کلیدهای ورودی و دانلود و اجرای فایل ها از دامنه های تحت کنترل مهاجمان شناخته شده است.

شرکت امنیت سایبری Check Point در گزارشی که با خبرگزاری ها به اشتراک گذاشته شده است، گفت: "هکرها می توانند با هزینه ای معادل 49 دلار در دارک نت، مجوزهای مربوط به بدافزار جدید را خریداری کنند و امکاناتی نظیر جمع آوری اطلاعات ورود به سیستم، عکسبرداری از صفحه، کلیدهای ورودی سیستم و اجرای فایل های مخرب را برای خود فراهم کنند".

توزیع XLoader از طریق ایمیل های جعلی حاوی اسناد مخرب مایکروسافت آفیس، برای قربانیان آلوده شامل 69 کشور مختلف در بازه زمانی بین اول دسامبر سال 2020 و 1 ژوئن 2021 انجام شده است که 53 درصد از آلودگی ها گزارش شده فقط در ایالات متحده به وقوع پیوسته است و به دنبال آن مناطق ویژه اداری چین (SAR)، مکزیک، آلمان و فرانسه قرار دارند.

در حالی که اولین نمونه های Formbook در ژانویه 2016 در فضای سایبری کشف شد، فروش بدافزار در انجمن های زیرزمینی در اکتبر 2017 متوقف گردید، اما پس از گذشت بیش از دو سال این بدافزار در قالب XLoader، از ماه فوریه سال 2020 دوباره بازگشته است.

چک پوینت اعلام کرد در اکتبر سال 2020، آخرین مورد آن در همان فرومی برای فروش به تبلیغ گذاشته شد که برای فروش بدافزار Formbook استفاده میشد. گفته می شود که هر دو Formbook و XLoader که از مشتقات آن است، با اینکه نسخه جدید شامل تغییرات اساسی است که به آن قابلیت های جدیدی برای به خطر انداختن سیستم های macOS می دهد، اما از یک کد بیس مشترک برخوردارند.

طبق آماری که اوایل ژانویه توسط چک پوینت منتشر شد، Formbook در دسامبر سال 2020 در میان خانواده های بدافزار رایج در جایگاه سوم بود که 4٪ از سازمان های سراسر جهان را تحت تأثیر خود قرار داده بود. لازم به ذکر است که بدافزار تازه کشف شده XLoader برای رایانه های شخصی و Mac با XLoader برای Android که برای اولین بار در آوریل 2019 شناسایی شد، یکسان نبوده و متفاوت است.

یانیو بالماس، رئیس تحقیقات سایبری در چک پوینت بیان داشت: "XLoader بسیار پیشرفته تر و تکامل یافته تر از مدل های قبلی خود است و از سیستم عامل های مختلف، به ویژه کامپیوترهای macOS پشتیبانی می کند. اگر به گذشته و تاریخ بنگریم، میبینیم که هیچ بدافزار macOS بدین شکل رایج نبوده است. آنها معمولاً در گروه جاسوس افزارها قرار می گیرند و آسیب زیادی را به سیستم وارد نمی کنند".

بالماس خاطرنشان کرد: "اگرچه ممکن است بین بدافزارهای ویندوز و MacOS تفاوت و فاصله وجود داشته باشد، اما به تدریج این فاصله در حال کاهش است. حقیقت این است که روند رشد بدافزارهای macOS در حال بزرگتر شدن، بیشتر شدن و خطرناک تر شدن است".

 

یک کمپین بدافزار مک (Mac)، با هدف قرار دادن توسعه دهندگان Xcode جهت افزودن امکان پشتیبانی از تراشه های جدید M1 اپل و گسترش ویژگی های آن برای سرقت اطلاعات محرمانه از برنامه های رمزارزها، مجدداً مورد استفاده قرار گرفته است.

به نقل از هکر نیوز، XCSSET در آگوست سال 2020 و پس از اینکه از طریق پروژه های تغییر Xcode IDE، که در طی فرایند ساخت برای اجرای بارگیری اطلاعات تنظیم شده بودند، مورد توجه قرار گرفت. این بدافزار برای تقلید از برنامه های مجاز مَک، که بطور کامل مسئول آلوده کردن پروژه های محلی Xcode و تزریق اطلاعات اصلی برای اجرا در هنگام ایجاد پروژه در معرض خطر است، ماژول های اطلاعات را مجددا بارگیری می کند.

ماژول های XCSSET دارای قابلیت سرقت گواهی ها، گرفتن اسکرین شات، تزریق جاوا اسکریپت مخرب به وب سایت ها، سرقت داده های کاربر از برنامه های مختلف و حتی رمزگذاری فایل ها برای باجگیری است.

سپس در ماه مارس 2021، محققان کسپرسکی نمونه های XCSSET را كه برای تراشه های جدید Apple M1 جمع آوری شده بود، کشف كردند و این کشف حاكی از آن بود كه فعالیت این بدافزار نه تنها تاکنون ادامه داشته است، بلكه مهاجمان نیز به طور فعال اقدامات اجرایی خود را با آن تطبیق می داده اند و آنها را برای اجرا بر روی مک های جدید سیلیکون اپل، بومی سازی می كرده اند.

 

آخرین تحقیقات ترند میکرو نشان می دهد که XCSSET برای اعمال بک دور جاوا اسکریپت به وب سایت ها با استفاده از حملات Universal Cross-Site Scripting (UXSS) همچنان از نسخه در دست توسعه مرورگر سافاری سوءاستفاده می کند.

محققان ترند میکرو، در تحلیلی که روز جمعه منتشر شد، اعلام کردند: "این بدافزار، بسته های بروزرسانی سافاری را در سرور command-and-control میزبانی می کند، سپس بسته را بسته به نسخه سیستم عامل کاربر دانلود و نصب می کند. همچنین برای سازگاری با نسخه تازه منتشر شده Big Sur ، بسته های جدیدی برای سافاری 14، اضافه شده است".

این بدافزار علاوه بر تروجان سازی سافاری به منظور نفوذ به داده ها، با سوءاستفاده از حالت اشکال زدایی از راه دور در مرورگرهای دیگر مانند گوگل کروم، مرورگر بِرِیو، مایکروسافت اِج، موزیلا فایرفاکس، اوپرا، مرورگر کیهو 360 و مرورگر یاندکس برای انجام حملات UXSS شناخته می شود.

بعلاوه این بدافزار حتی سعی در سرقت اطلاعات حساب از چندین وب سایت از جمله سیستم عامل های معاملات ارزهای رمزنگاری هیوبی، بایننس، NNCall.net، اِنواتو و 163.com دارد که توانایی جایگزینی آدرس کیف پول رمزارز کاربر را با موارد تحت کنترل مهاجم دارد.

نحوه انتشار XCSSET از طریق پروژه های تحقیقاتی Xcode، تهدیدی جدی قلمداد می شود، زیرا توسعه دهندگانی که آلوده شده اند، ناخواسته کار خود را در GitHub به اشتراک می گذارند و می توانند بدافزار را در قالب پروژه های Xcode که در معرض خطر هستند، به کاربران خود منتقل کنند و به متعاقب آن منجر به سلسله حملاتی مانند حملات زنجیره تامین بشوند و کاربرانی را که به این دیتابیس ها در پروژه های خود وابستگی و اعتماد دارند، بشدت در معرض خطر و آلودگی قرار دهند.

 

اپل برای رفع نقص امنیتی که می تواند به مهاجمان اجازه دهد کد دلخواه را از طریق محتوای وب مخرب اجرا کنند، یک out-of-band patch برای سیستم عامل خود،macOS ، watchOS و مرورگر وب Safari منتشر کرده است.

این آسیب پذیری که تحت عنوان CVE-2021-1844 از آن یاد می شود، توسط کلمنت لسین از گروه تجزیه و تحلیل تهدیدات گوگل و آلیسون هافمن از گروه تحقیقات آسیب پذیری مرورگر مایکروسافت، کشف و به این شرکت گزارش شد.

طبق گزارش های به روز شده توسط اپل، این نقص ناشی از یک مشکل خرابی حافظه است که می تواند منجر به اجرای کد خودکار هنگام پردازش محتوای خاص تحت وب شود. این شرکت گفت این مشکل با "بهینه سازی حساب شده" رفع گردیده است.

این به روزرسانی برای دستگاه های دارای iOS 14.4 ، iPadOS 14.4 ، macOS Big Sur و watchOS 7.3.1 (Apple Watch Series 3 و بالاتر) و به عنوان یک به روزرسانی در Safari برای MacBooks با macOS Catalina و macOS Mojave در دسترس و آماده دریافت است.

این تغییرات بر مبنای آخرین تحولات مربوط به سه آسیب پذیری روز صفر (CVE-2021-1782 ، CVE-2021-1870 و CVE-2021-1871) است که در ژانویه منتشر شد. نقاط ضعفی که به مهاجم اجازه میداد تا سطح دسترسی خود را افزایش داده و به امکان اجرای کد از راه دور دست یابد، که بعد از آن توسط تیم اجرایی "unc0ver" که تجهیزات اپل را اصطلاحا جیل بریک (jailbreak) میکردند، مورد سو استفاده قرار گرفت که به متعاقب آن قفل تقریباً هر مدل آیفون را با نسخه 14.3 باز کنند.

شایان ذکر است که هافمن همچنین درگیر کشف یک اشکال روز صفر فعال مورد سوءاستفاده در مرورگر کروم بود که هفته گذشته توسط گوگل رفع شد. اما بر خلاف نقص امنیتی کروم، هیچ مدرکی دال بر بهره برداری سوءاستفاده از CVE-2021-1844 توسط هکرهای مهاجم و خرابکار وجود ندارد.

تیم امنیتی ما به کاربران دستگاه های اپل یا کسانی که از نسخه آسیب پذیر کروم استفاده می کنند، توصیه می کند که برای کاهش خطر و رفع نقص، در اسرع وقت این به روزرسانی ها را نصب نمایند.

مسابقه هک Pwn2Own سری بهاری سال 2021، هفته گذشته در 8 آپریل با تساوی سه جانبه بین تیم Devcore ،OV و محققان Daan Keuper و Thijs Alkemade به پایان رسید.

در مجموع 1.2 میلیون دلار برای 16 سطح و موضوع مهم نفوذ در طول یک رویداد مجازی سه روزه که توسط طرح روز صفر (ZDI) سازماندهی و برگزار شده بود، اهدا شد.

به گزارش هکر نیوز، اهدافی که با تلاش برای نفوذ موفق آمیز مواجه شدند، شامل سیستم های عامل زوم، اپل سافاری، مایکروسافت Exchange ، مایکروسافت تیمز، پاراللز دسکتاپ، ویندوز 10 و نسخه دسکتاپ اوبونتو بودند.

برخی از مهمترین موارد برجسته و مهم این رقابت به شرح زیر بوده اند:

• با استفاده از بای پس احراز هویت و افزایش دسترسی محلی برای تصاحب کامل یک سرور مایکروسافت Exchange، که برای آن تیم دِوکور 200 هزار دلار جایزه کسب کرد.
• ایجاد زنجیره ای از اشکالات برای دستیابی به اجرای کد در مایکروسافت تیمز و کسب 200.000 دلار برای تیم تحقیقاتی OV
• سوءاستفاده از کلیک صفر (zero-click) با هدفگیری برنامه زوم توسط زنجیره سه گانه باگ برای بهره برداری از این برنامه پیام رسان و به دست آوردن امکان اجرای کد در سیستم هدف. (200.000 دلار)
• بهره برداری از نقص بیشینه عدد صحیح در سافاری و نوشتن بیش از ظرفیت و محدوده آن، برای بدست آوردن امکان اجرای کد سطح کرنل (100.000 دلار)
• نفوذ با هدف رندر کروم برای هک مرورگرهای گوگل کروم و مایکروسافت ادج (کرومیوم) (100.000 دلار)
• استفاده از اشکالات use-after-free، شرایط رقابتی و بیشینه عدد صحیح در ویندوز 10 برای تبدیل شدن از یک کاربر عادی به سطح دسترسی کامل به سیستم (40.000 دلار به هر یک)
• ترکیب سه نقص شامل نشت حافظه غیر اولیه، بیشینه انباشته و بیشینه عدد صحیح، برای فرار از Parallels Desktop و اجرای کد بر روی سیستم عامل اصلی (40.000 دلار)
• سوءاستفاده از نقص تخریب حافظه برای اجرای موفقیت آمیز کد بر روی سیستم عامل میزبان از داخلParallels Desktop (40.000 دلار)
• بهره برداری از اشکال دسترسی خارج از حریم برای افزایش از یک کاربر استاندارد به دسترسی بنیادی در نسخه دسکتاپی اوبونتو (30.000 دلار)

آسیب پذیری های زوم که توسط دان کوپر و تیش آکیمید از شرکت کامپیوتست سکیوریتی مورد بهره برداری قرار گرفته اند، بسیار ویژه قابل توجه هستند زیرا این نقص ها به جز فرد شرکت کننده در تماس زوم، به هیچ تعامل و ارتباط دیگری با قربانی احتیاج ندارد. علاوه بر این، این مورد بر روی نسخه های ویندوز و مک این برنامه قابل انجام است اما مشخص نیست که نسخه های آندروید و iOS نیز شامل این آسیب پذیری میشوند یا خیر.

جزئیات فنی این نقص ها هنوز مشخص نیست، اما در بیانیه ای منتشر شده برای به اشتراک گذاری یافته ها، شرکت امنیتی هلندی گفت که محققان "پس از آن که تقریباً به طور کامل سیستم را تحت کنترل خود درآوردند و اقداماتی مانند روشن کردن دوربین، روشن کردن میکروفون، خواندن ایمیل ها، تغییر تنظیمات صفحات و بارگیری تاریخچه مرورگر را به مرحله اجرا رساندند".

هنگامی که باز مدیران زوم درخواست پاسخ شد، آنها اعلام کردند که این امر باعث ایجاد تغییرات در سرور برای بروزرسانی و رفع اشکالات شده است و خاطرنشان کرد که این گروه بر روی ترکیب حفاظت های اضافی برای رفع نواقص امنیتی کار می کند. این شرکت برای رسیدگی به مشکلات قبل از علنی شدنشان، فرصت 90 روزه دارد.

سخنگوی این شرکت به خبرگزاری ها گفت: "در تاریخ 9 آپریل، یک به روزرسانی سروری منتشر کردیم که در برابر حمله نشان داده شده در Pwn2Own در زوم چت از برنامه محافظت می کند. این بروزرسانی نیازی به اقدامی از سمت کاربران ندارد. ما در حال کار بر روی موارد کاهش هرچه بیشتر آسیب پذیری ها برای رفع کامل مشکلات اساسی زوم هستیم".

این شرکت همچنین اعلام کرد که به هیچ نشانه ای دال بر سوءاستفاده از باگ های کشف شده نرسیده است، در حالی که نقایص ذکر شده در جلسات ویدئویی زوم بی تاثیر هستند و "حمله فقط می تواند توسط یک تماس خارجی انجام شود که مخاطب آن حمله قبلاً تایید شده یا بخشی از همان حساب سازمانی هدف بوده باشد".

محقق مستقل، آلیسا ایساژ، همچنین پس از یافتن اشکال در نرم افزار مجازی سازی پاراللز، به عنوان اولین زنی که در Pwn2Own  برنده شد، تاریخ سازی کرد. اما تنها به دلیل اینکه این نقص قبل از برگزاری این رویداد به ZDI گزارش داده شده بود، او تنها برنده قسمتی از جوایز شد.

ایساگ در توئیتر خود نوشت: "من فقط می توانم این واقعیت را قبول کنم که مشارکت موفق من در Pwn2Own باعث جلب توجه به سمت برخی از موارد قابل تغییر و یا منسوخ شده در قوانین مسابقه شد". وی افزود: "در دنیای واقعی چیزی به عنوان "نکته قابل بحث"وجود ندارد. یک بهره برداری و نفوذ و سوءاستفاده سایبری، یا سیستم هدف را می شکند و رسوخ میکند یا خیر"!

به گزارش سایت هکرنیوز، پسری ۱۶ ساله و ساکن جنوب ملبورن استرالیا، چندین بار به سیستم‌های کامپیوتری حاوی اطلاعات مشتریان اپل نفوذ کرد و موفق به دانلود حدود ۹۰ گیگابایت فایل امن مربوط به اطلاعات حساب کاربری کاربران اپل شد.

با توجه به اینکه هک، توسط پسری نوجوان انجام شده است؛ طبق قوانین استرالیا به‌دلیل نوجوان بودن متهم، تاکنون نامی از وی در رسانه‌ها مطرح نشده است. در پی بروز این حمله‌ی هکری، اپل به کاربران اطمینان داد با وجودی که اطلاعات توسط این هکر جوان دانلود شده است؛ ولی هیچ‌کدام از داده‌های کاربری کاربران به‌خطر نیفتاده و جای هچ‌گونه نگرانی نیست. بلافاصله پس از آنکه اپل از حمله‌ی هکری مطلع شد، موضوع را به FBI‌ اطلاع داد. FBI نیز موضوع نفوذ به اطلاعات را به پلیس فدرال استرالیا (AFP) منتقل کرد.

پلیس فدرال استرالیا بلافاصله موضوع را پیگیری کرد و متوجه شد که نفوذ از طریق دو عدد لپتاپ، یک عدد گوشی هوشمند و یک عدد هارد اتفاق رخ داده است. شماره سریال لپتاپ‌ها و آدرس IP گوشی تلفن همراه با گزارش اپل مبنی بر بروز نفوذ، مطابقت داشت. پسر نوجوان کلیه‌ی اطلاعات دانلود‌شده از سرورهای اپل را در فولدری به‌نام «hacky hack hack» ذخیره کرده بود. براساس گزارش AFP، این پسر نوجوان ملبورنی در پیام‌رسان واتساپ، در مورد کاری که انجام داده بود، صحبت کرده بود و به خودش به دلیل توانایی انجام چنین کاری افتخار کرده بود.

سخنگوی اپل بدون اشاره به جزئیات پرونده، به یکی از اعضای امنیت اطلاعات اپل در خصوص بروز این حادثه اعلام کرد:

فرد خاطی و هکر نوجوان به دست قانون سپرده می‌شود تا به پرونده‌ی وی رسیدگی کند. کاربران و مشتریان‌مان مطمئن باشند که هیچ‌گونه اطلاعات شخصی و اطلاعات مربوط به حساب کاربری کاربران در این حادثه، به‌خطر نیفتاده است.

از آنجایی که هنوز دادگاهی برای پسر نوجوان تشکیل نشده است؛ پلیس فدرال استرالیا در مورد این واقعه هیچ‌گونه اظهار نظری نکرد. یکی از سخنگویان اداره‌ی دادگستری استرالیا نیز، ضمن امتناع از ارائه‌ی توضیحات بیشتر در مورد این پرونده، تنها به این نکته اشاره کرد که پسر نوجوان در دادگاه ۲۰ام سپتامبر محکوم خواهد شد. از آنجایی که هکر یک نوجوان است؛ نام وی قرار نیست رسانه‌ای شود. به‌همین دلیل هیچ‌ صحبتی در مورد نام و یا هویت پسر نوجوان در رسانه‌ها مطرح نشده است.