BackDoor.Flashback: تروجان يُصيب أكثر من 550 ألف جهاز Mac

نُشر يوم 6 أبريل 2012 بواسطة Xacker

يدعي بعض الخبراء بعدم وجود تهديدات أمنية لنظام Mac OS X، لكن وفقاً لدراسة أجرتها شركة Doctor Web الروسية لتحديد مقدار الضرر الذي تسبب به تروجان Backdoor.Flashback الذي يصيب أنظمة Mac OS X، فقد خلصت الدراسة إلى أن شبكات botnets التي تستخدمها العصابات الالكترونية تحتوي على ما يقارب 550 ألف جهاز مصاب، معظمها في الولايات المتحدة الأمريكية وكندا (نتيجة انتشار أنظمة وأجهزة Mac في بلدان المنشأ).

Backdoor.Flashback.39 يصيب الأجهزة بعد تحويل المستخدمين إلى موقع يحوي على شفرة خبيثة، وتكون الشفرة الخبيثة عادة كود JavaScript يقوم بتحميل الـ Java Applet التي تحوي على الاستغلال المؤذي (ألا يقوم الجميع بالأمر نفسه دائماً؟ P:)

[caption id="attachment_10496” align="aligncenter” width="649” caption="شكل الرماز في الصفحات المصابة (انقر على الصورة لمشاهدتها بحجمها الكامل)"] [/caption]

وفقاً لبعض المصادر فإن روابط لأكثر من 4 ملايين موقع محمّل بالشفرة الخبيثة أمكن إيجادها على Google SERP (صفحات نتائج محرك البحث)في نهاية مارس المنصرم، بما في ذلك موقع dlink.com وفقاً لبعض المشاركات في منتديات Apple التي تشير إلى وجود الشفرة الخبيثة فيه.

هذا وقد بدأ القراصنة باستغلال ثغرة CVE-2011-3544 و CVE-2008-5353 في فبراير الماضي وبعد منتصف مارس تحولوا لاستغلال CVE-2012-0507. للأسف فإن Apple لم تقم بترقيع الثغرة إلا في مطلع أبريل الجاري.

يقوم الاستغلال بتحميل ملف تنفيذي إلى القرص الصلب لجهاز Mac المصاب، ويقوم هذا الملف بتنزيل payload خبيث من الانترنت ومن ثم تنفيذه.

Backdoor.Flashback.39 هو نسخة جديدة تم اكتشافها مع بداية 1 أبريل، وكسابقاته فإن البرمجية الضارة تقوم بالبحث في القرص الصلب عن المكونات التالية:

  * /Library/Little Snitch
  * /Developer/Applications/Xcode.app
  * /Contents/MacOS/Xcode
  * /Applications/VirusBarrier X6.app
  * /Applications/iAntiVirus/iAntiVirus.app
  * /Applications/avast!.app
  * /Applications/ClamXav.app
  * /Applications/HTTPScoop.app
  * /Applications/Packet Peeper.app

وفي حال عدم إيجاد هذه الملفات فإنه يستخدم إجرائية خاصة لتوليد قائمة من خوادم التحكم يرسل لها مجموعة من الاستعلامات، ويرسل إشارة بنجاح التثبيت إلى خادوم الإحصائيات الخاص بالقراصنة.

ومن المثير للاهتمام أن البرمجية الضارة تقوم باستخدام إجرائية غريبة لتوليد قائمة عناوين هذه الخواديم. كما يمكنها أيضاً التحويل بين عدة خواديم لتوزيع الحمل!

بعد وصول رد من خادوم التحكم، تقوم الإجرائية بالتحقق من توقيع RSA الخاص بها، وبعد نجاح التحقق يتم تحميل وتنفيذ الـpayload الضار على الجهاز المصاب، كما يمكنها أيضاً تحميل وتنفيذ أي برنامج تنفيذي آخر يتم توجيهه لها من خادوم التحكم.

كل bot تقوم بإرسال ID مميز للجهاز المصاب في استعلاماتها المرسلة لخادوم التحكم، وقد استخدم خبراء Dr. Web تقنية sinkhole لتحويل traffic الخاص بالـ botnet إلى خواديمهم الخاصة وتمكنوا بذلك من تسجيل الإحصائيات المذكورة أعلاه.

توزعت الإصابات على النحو التالي: 303,449 إصابة في الولايات المتحدة، 106,379 في كندا، 68,577 في بريطانيا وحلت استراليا في المركز الأخير بـ 32,527 إصابة.

ننصح مستخدمي Mac بتحميل الترقيع الأمني من موقع Apple عبر الرابط.

في رأيك، لماذا يستهدف هذا التروجان أجهزة/أنظمة Mac على وجه التحديد؟