استفاده از یك برنامه راه نفوذ مخفی در Mac OS X

نوع جدید بدافزار XSLCmd یك برنامه های راه نفوذ مخفی برای Mac OS X می باشد كه در چندین سال اخیر توسط مجرمان سایبری علیه این سیستم ها استفاده شده است.

به گزارش مرکز ماهر، محققان شركت امنیتی FireEye در پستی در وبلاگ نوشتند: كد راه نفوذ مخفی سیستم های مكینتاش از راه نفوذ مخفی ویندوز كه در چند سال اخیر در حملات هدفمند مورد استفاده قرار گرفته است و چندین مرتبه ارتقاء یافته است، استخراج شده است.

این برنامه مخرب XSLCmd نامیده می شود و قادر است فایل ها را فهرست كرده و انتقال دهد و بدافزارهای دیگری را بر روی رایانه آلوده نصب نماید.انواع OS X می توانند ضربات صفحه كلید را ثبت نمایند و هم چنین از صفحه تصویر برداری نمایند.

هنگامی كه این بدافزار بر روی سیستم مكینتاش نصب می شود خودش را در آدرس های /Library/Logs/clipboard و $HOME/Library/LaunchAgents/clipboard كپی می كند.
یك فایل com.apple.service.clipboardd.plist را نیز ایجاد می كند تا اطمینان یابد پس از بوت شدن مجدد سیستم این فایل اجرا می شود.

هم چنین این بدافزار حاوی كدی است كه نسخه OS X را تشخیص می دهد اما قادر به تشخیص نسخه های بالاتر از ۱۰.۸ نیست.

ممكن است زمانی كه این بدافزار نوشته شده است نسخه ۱۰.۸ بالاترین نسخه مكینتاش بوده است.

راه نفوذ مخفی XSLCmd ایجاد شد و بدین ترتیب توسط گروه های جاوسوسی سایبری با نام GRFE كه از سال ۲۰۰۹ فعال می باشند مورد استفاده قرار می‌گیرد.

این گروه تاكنون سازمان های زیادی را هدف حملات خود قرار داده است از جمله می توان سازمان دفاعی امریكا، شركت های جهانی مهندسی و الكترونیك و موسسات و NGOها را نام برد.

در گذشته گروه GRFE به گروه هكری سوء استفاده كننده از آسیب پذیری های zero-day شهرت داشته است. این گروه از آسیب پذیری هایی سوء استفاده می كنند كه در زمان حمله اصلاحیه ای برای آن ها وجود ندارد.

این نوع جدید بدافزار XSLCmd از آخرین برنامه های راه نفوذ مخفی برای Mac OS X می باشد كه در چندین سال اخیر توسط مجرمان سایبری علیه این سیستم ها استفاده شده است.