یک محقق امنیتی در هفته گذشته یک سایت جعلی منتسب بهSymantec را که اقدام به انتشار گونه جدید بدافزار سرقت پسورد OSX.Proton می کرد را معرفی نمود. این بدافزار در تاریخ مارچ 2017 ایجاد شده و از طریق برنامه Handbrake اقدام به انتشار خود می نماید. سایت جعلی در وهله اول به دلیل استفاده از نام Symantec معتبر به نظر می رسد اما آدری ایمیل استفاده شده جهت ثبت دامنه به جای استفاده از گواهی SSL مربوط به Symantec از گواهی Comodo استفاده نموده است. سایت جعلی که دارای ساختار و محتوای دقیقاً مشابه با سایت Symantec است برنامه ای با نامSymantec Malware Detector را به کاربر اعلام می کند که در ظاهر برای حذف بدافزار شناسایی شده مورد نیاز است و کاربر را مجاب به بارگذاری آن می کند. این برنامه در حقیقت همان OSX.Proton است که اقدام به سرقت پسورد admin به صورت رمزنشده همراه با سایر اطلاعات محرمانه مانند اطلاعات کش شده مرورگر و پسوردهایGPG می کند.
بنابر اظهارات محققین برای تشخیص آلوده بودن برنامه دانلود شده به این بدافزار، در صورتی که امضای کد با نام شخصی با عنوان Sverre Huseby باشد و شناسه تیم صدور گواهی نیز E224M7K47W باشد، گواهینامه آلوده به بدافزار خواهد بود. اگرچه این بدافزار توسط محصولات ضدبدافزار شناسایی می گردد اما کاربران باید در صورت مواجه با این بدافزار اقدامات پیشگیرانه مانند تغییر سریع تمامی پسوردهای آنلاین را انجام دهند.
- منبع:
https://www.scmagazine.com/osxproton-spread-via-fake-symantec-blog/article/709695/