أوندريج هولزمان تتعرض أجهزة كمبيوتر Mac للهجوم من خلال برامج ضارة جديدة تلتقط لقطات شاشة دون علم المستخدم ثم تقوم بتحميل الملفات إلى خوادم مشكوك فيها. يختبئ الفيروس تحت التطبيق macs.app. لكن في الوقت الحالي، فهي ليست منتشرة على نطاق واسع.
تم العثور على نوع جديد من التهديد لمستخدمي أجهزة كمبيوتر Apple على جهاز Mac الخاص بأحد المشاركين في منتدى أوسلو للحرية، وهو مؤتمر دولي حول حقوق الإنسان تنظمه مؤسسة حقوق الإنسان سنويًا في أوسلو.
بمجرد تثبيت macs.app، يعمل التطبيق في الخلفية ويلتقط لقطات الشاشة بصمت. يتم تخزين كل صورة تم التقاطها في مجلد تطبيق ماك في الدليل الرئيسي الخاص بك حيث تم تحميل الملفات إليه Securitytable.org a docsforum.inf. لا يتوفر أي مجال.
[do action=”tip”]تحقق من دليلك الرئيسي بحثًا عن مجلد تطبيق ماك (انظر الصورة).[/فعل]
يمكن أن يعمل تطبيق Macs.app على جهاز Mac الخاص بك لأنه، على عكس البرامج الضارة الأخرى، يحتوي على معرف مطور Apple عامل مخصص له، مما يعني أنه يتخطى حماية Gatekeeper. ينتمي رقم التعريف إلى شخص معين يدعى Rajender Kumar، ولدى شركة Apple خيار تجميد حقوقه، الأمر الذي قد يجعل الفيروس مستحيلًا أيضًا أن يعمل. لذلك يمكننا أن نتوقع تدخلاً مبكرًا من الشركة الواقعة في كاليفورنيا.
انه لامر جيد أن تعرف. ولكن لماذا أقوم بتثبيته (هل هو تطبيق أم حزمة تثبيت)؟
تقوم F-secure حاليًا بالتحقيق في البرامج الضارة لتحديد مصدرها وطرق تثبيتها وكيفية تشغيلها بشكل أفضل.
لم أكتشف الشكل الذي تم تنزيله به بالضبط، ولكن عندما يكون لديك على جهاز الكمبيوتر الخاص بك، فإنه يبدأ تلقائيًا عند بدء تشغيل جهاز الكمبيوتر الخاص بك. ومع ذلك، لا أرى ما إذا كان يجب تثبيته.
منطقيًا، يجب على المستخدم تشغيله، والسؤال الوحيد هو ما إذا كان "مجمعًا" مع بعض التطبيقات، سواء كانت قانونية أو مخترقة، أو إذا وصلت رسالة بريد إلكتروني مثل "صور عارية لـ، قم بتشغيلي الآن" وبدأ المستخدم تشغيلها.
نظرًا لأنه يبدو بدائيًا (يمكن كتابته في AppleScript بسهولة شديدة) وبما أنه يكتب في مجلد المستخدم، فلا ينبغي أن يحتاج حتى إلى كلمة مرور المسؤول، لكنني أحكم فقط من الصورة والمعلومات الواردة في المقالة، قد يكون مختلفا :)
إذا بدأ بعد بدء التشغيل، فسأقول أنه يجب عليه إنهاء التثبيت (حتى البرنامج الخفي أو التطبيق نفسه). على أي حال، كما كتب DJManas، فإنه يكتبه في مجلد المستخدم بدقة بحيث لا تكون هناك حاجة لكلمة مرور. لا أفهم سبب كتابته في "MacApp" وليس ".MacApp" - وبهذه الطريقة لن يلاحظ أي شخص ليس لديه ملفات مخفية مرئية (90٪ من الأشخاص).
ما أراه مشكلة أكبر هو أن شخصًا ما استخدم معرّف المطور الخاص به لتجاوز GateKeeper - وهنا يتعين على Apple أن تتفاعل بسرعة كبيرة وتحظر هؤلاء الأفراد إلى الأبد. ربما يمكنني رؤيته في بعض وظائف "الإبلاغ كبريد عشوائي/فيروس"، مخفيًا في مكان ما بعمق، بحيث يجب على Apple البدء في التعامل معه على الفور عندما تتلقى أكثر من إشعار واحد حول التطبيق.
أعترف بأنني لا أملك معرف المطور الرسمي الخاص بي، ولكن أعتقد أنه يكفي إعداد بريد إلكتروني، ودفع رسوم العضوية، حتى مقابل 900,- سنويًا، ويكون المستخدم "مباشرًا" ويمكنه اللعب ( إذا لم يضعه مباشرة في AppStore)، الأمر الذي يمكن أن يجلب الرضا، لكنني لا أعرف بالضبط كيف يعمل، يرجى تصحيح لي.
من ناحية أخرى، ربما قام المستخدمون بإيقاف تشغيل GateKeeper لأنهم قاموا بتثبيت أشياء من الويب، وسأعترف بأنني قمت بإيقاف تشغيله أيضًا، لأنه لن يسمح لي بتثبيت تطبيق أستخدمه عادةً، أعتقد أنه كان OnyX في ذلك الوقت (تم تثبيت الإصدار 10.8 حديثًا) ولم يتم اكتشافه، وأتساءل عما إذا كانوا مطورين رسميين بالفعل ويمكنني تشغيله...
لقد قمت أيضًا بتعطيله لزوجتي حيث قمت بتطوير اثنين من "التطبيقات/البرامج النصية/الأدوات" التي نستخدمها أنا وهي فقط ولم تسمح لي بتثبيته على نظام التشغيل OSX الخاص بها...
أوصي بتشغيل Gatekeeper وإذا كنت تريد تثبيت تطبيق غير موقع، فما عليك سوى النقر بزر الماوس الأيمن على الحزمة/التطبيق ثم النقر فوق "فتح". ومن ثم تكون هناك إمكانية لتجاوز برنامج حماية البوابة في هذه الحالة. أفعل ذلك بنفسي ويبدو الأمر أكثر أمانًا بالنسبة لي - يمكنني أيضًا تثبيت التطبيقات غير الموقعة، لكن برنامج Gatekeeper يراقب كل شيء آخر.
شكرا لك، لم أكن أعرف هذا