يكي از بدافزارها به نام بدافزار Proton براي سيستم عامل مك مي باشد توانسته است با یک ترفند جدید و غیرمعمول قربانيان را فريب داده و آنها را آلوده نمايد، بطوريكه وب‌گاه امنیتی شرکت سیمانتک را جعل کرده و سپس این وب‌گاه جعلی را از طریق توییتر پخش کرده است. این وب‌گاه جعلی حاوی یک پست در باره‌ی نسخه‌ی جدید بدافزار CoinThief مي باشد که از سال ۲۰۱۴ میلادی شناسایی شده است. پس از بررسي، تجزیه و تحلیل مشخص شد که این پست یک برنامه به نام «ابزار تشخیص بدافزار سمانتک» را توزیع می‌کند؛ بطوريكه چنین برنامه‌ای اصلا وجود ندارد و این برنامه چیزی جز بدافزار Proton نیست.


با توجه به اينكه آدرس اين سايت به صورت « symantecblog[dot]com»  و داراي محتوا و اطلاعات مي باشد، بسیار هدفمند و ماهرانه انتخاب شده است كه این مسائل باعث فریب خوردن کاربران می‌شود.طبق گفته (Thomas Reed)، مدیر بخش سيستم عامل مک و تلفن همراه در آزمایشگاه Malwarebytes:‌ «این نفوذگران وب‌گاه سیمانتک را به خوبی جعل کرده‌اند، حتی محتوایی که در این وب‌گاه جعلی قرار داده‌اند، مشابه وب‌گاه اصلی سیمانتک است. در نگاه اول به نظر می‌رسد که اطلاعاتی که برای ثبت این دامنه‌ی جعلی ارائه شده، قانونی است، و از همان نام و آدرس مشابه با وب‌گاه سیمانتک قانونی استفاده شده است. اما رایانامه‌ای که برای ثبت این دامنه‌ی جعلی مورد استفاده قرار گرفته، باعث لو رفتن قضیه می‌شود.»
قابل توجه است كه اين وب گاه از یک گواهی‌نامه‌ی قانونی SSL استفاده می‌کند، اما این گواهی‌نامه توسط کومودو صادر شده است و نه خود شرکت سیمانتک. در حال حاضر، پیوند‌هایی به این پست جعلی در توییتر در حال توزیع است. به نظر می‌رسد برخی از حساب‌های کاربری که این پیوند را منتشر می‌کنند، حساب جعلی هستند، اما برخی از حساب‌ها نیز به نظر قانونی می‌رسند.  Thomas Reed می‌گوید: «با توجه به این حقیقت که هدف اصلی بدافزار پروتون سرقت گذرواژه‌هاست، این بدافزار می‌تواند به حساب‌های کاربری که گذرواژه‌ی آن‌ها در حملات قبلی این بدافزار تحت تاثیر قرار گرفته‌اند، نفوذ کند. با این حال، ممکن است این حساب‌های کاربری قانونی افرادی باشند که فریب خورده‌اند و فکر می‌کنند که این پست وبلاگ جعلی، واقعی است.»
طرز كار اين بد افزار به صورت زير مي باشد:
قربانياني که «ابزار تشخیص بدافزار سیمانتک» را بارگیری و اجرا كرده اند، تحت تاثیر بدافزار پروتون قرار گرفته اند. سپس این بدافزار به منظور جمع‌آوری اطلاعات شروع به کار می‌کند و گذرواژه‌ی کاربر را در قالب متن اصلی ثبت کرده و همراه با دیگر اطلاعات شخصی قابل شناسایی (personally-identifying information) به یک پرونده‌ی مخفی ارسال می‌کند. این بدافزار همچنین اطلاعات دیگری مانند پرونده‌های keychain، داده‌هایی که به صورت خودکار توسط مرورگر پر می‌شوند، و گذرواژه‌های GPG را جمع‌آوری کرده و آنها را به بيرون انتقال مي دهند. از آن‌جایی که این بدافزار گذرواژه‌های کاربر را جمع‌آوری می‌کند، نفوذگرانی که پشت این بدافزار هستند، می‌توانند حداقل پرونده‌های keychain را رمزگشایی کنند.
Thomas Reed گفت: «شرکت اپل از وجود این بدافزار آگاه است و گواهی‌نامه‌ای که برای امضای این بدافزار مورد استفاده قرار گرفته است را ابطال کرده تا بتواند در آینده از تاثیرات مخرب ابزار تشخیص بدافزار سیمانتک جلوگیری کند. با این وجود، این اقدام به دستگاهی که در حال حاضر تحت تاثیر این بدافزار قرار گرفته، کمکی نمی‌کند.
توصيه هايي در خصوص قربانيان آلوده شده به اين بدافزار طبق گفته آقاي Thomas Reed:
از آن‌جایی که بدافزار پروتون برای سرقت اطلاعات ورود به سيستم طراحی شده است، لازم است در صورتی که تحت تاثیر قرار گرفته‌اید چند اقدام اضطراری انجام دهید.
شما باید فرض كنيد که تمام گذرواژه‌های برخط تحت تاثیر قرار گرفته‌اند و همه‌ی این گذرواژه‌ها را تغییر دهید.
همچنین باید اطمینان حاصل کنید تا زمانی که تحت تاثیر این بدافزار قرار دارید، در تمام وب‌گاه‌ها از گذرواژه‌های متفاوتی استفاده کرده، و از یک برنامه‌ی مدیریت گذرواژه (مانند 1Password یا LastPass) برای نگهداری از این گذرواژه‌ها استفاده کنید. از آن‌جایی که مخزن‌های برنامه‌ی 1Password یکی از اهداف برنامه‌ی پروتون است، به هیچ وجه گذرواژه‌ی اصلی برنامه‌ی مدیریت گذرواژه‌ را در این برنامه یا هیچ جای دیگر در رایانه‌ی آسیب‌دیده ذخیره نکنید. این تنها گذرواژه‌ای است که شما باید آن‌را به خاطر بسپارید، و این گذرواژه باید یک گذرواژه‌ی قوی باشد. کاربران همچنین باید احراز هویت دو مرحله‌ای را فعال کنند.

  • 01.png
  • 02.png
  • 03.png
  • 04.png
  • 05.png
  • 06.png
  • 07.png
  • 08.png