باجافزار جديد مك، خطرناكتر از آن چيزي است كه بهانديشه متخصصين ميرسد
باجافزارها از سالها پيش بهعنوان يكي از خطرناكترين تهديدهاي سايبري شناخته ميشدند. تا چهار سال پيش كه اولين باجافزار خطرناك مك شناسايي شد، تصور عمومي بر آن بود كه سيستمعامل اپل، آسيبپذيري كمتري در برابر اين دسته از بدافزارها دارد. چند روز پيش، يك محقق امنيتي بهنام Dinesh Devadoss، از كشف باجافزار جديدي در مك خبر داد كه ظاهرا خطر زيادي براي متخصصان دارد. او كه بهعنوان محقق در شركت امنيتي K7 Lab فعاليت ميكند، جزئيات عملكرد باجافزار را منتشر كرد كه پيامدهايي جدي در رسانههاي امنيت سايبري جهان داشت.
محققان، ابتدا نام EvilQuest را براي باجافزار جديد مك انتخاب كردند. پس از آن كه مشخص شد سري بازيهاي ويديويي به همين نام و از شركت Steam منتشر شده است، نام باجافزار به ThiefQuest تغيير كرد. اطلاعات جديد نشان ميدهد بدافزار مذكور، خطرهايي بيش از تصورات اوليه براي متخصصان دارد.
بدافزار جديد مك، توانايي استخراج اطلاعات مهم مالي را هم دارد
بدافزار جديد macOS، علاوه بر عملكرد باجافزاري، از مجموعهاي از تواناييهاي خرابكارانهي ديگر هم بهره ميبرد. مجرمان با استفاده از آن توانايي انجام فعاليتهاي جاسوسي، استخراج فايلها از كامپيوتر آلوده، جستوجوي سيستم براي رمزهاي عبور و اطلاعات كيفپول رمزارز، اجراي Keylogger و استخراج اطلاعات رمز، كارتهاي اعتباري يا ديگر اطلاعات شخصي و مالي متخصص را هم پيدا ميكنند. ساختار جاسوسافزار، يك در پشتي را نيز در سيستم قرباني ايجاد ميكند و درنتيجه پس از بارگذاري مجدد سيستم نيز به فعاليت ادامه ميدهد. مجرمان ميتوانند از آن براي اجراي حملههاي ثانويه هم استفاده كنند. باتوجهبه اينكه باجافزارها در سيستمعامل مك، آنچنان مرسوم و گسترده نيستند، چنين سبكي از نفوذ و سوءاستفادهي سايبري، قابلتوجه و خطرناك بهانديشه متخصصين ميرسد.
پاتريك واردل، محقق ارشد اكمنيت سايبري در شركت Jamf دربارهي باجافزار ThiefQuest ميگويد:
با مطالعه كد زيرساختي بدافزار، ميتوان بخش منطقي باجافزار را از منطق در پشتي جدا كرد و هركدام، بهتنهايي بدافزار مستقل و خطرناكي محسوب ميشود. تركيب آنها، قطعا خطرهاي بيشتري را بههمراه خواهد داشت. من تصور ميكنم يك مجرم سايبري اين بدافزار را ابتدا براي نفوذ و در دست گرفتن كنترل كامل كامپيوتر مك طراحي كرده است. سپس قابليتهاي باجافزاري اضافه شدهاند تا مجرمان درآمد بيشتري كسب كنند.
با وجود خطرهاي بسياري كه براي باجافزار ThiefQuest بيان ميشود، خطر آن براي متخصصان عادي كه مراقبت مناسبي در فعاليتهاي الكترونيك دارند، آنچنان زياد نيست. درواقع اگر متخصص مراقب دانلود كردن نرمافزارهاي دزدي يا تقلبي يا موارد مشابه باشد، خطر آنچناني او را تهديد نميكند. توماس ريد، محقق ارشد پلتفرمهاي موبايل و مك شركت امنيتي Malwarebytes متوجه شد كه بدافزار مخرب، ازطريق سرويسهاي تورنت توزيع ميشود. او ميگويد بدافزار تحت نام نرمافزارهاي معتبر و پرطرفداري مانند سرويس امنيتي Little Snitch توزيع ميشود. بهعلاوه، در برخي موارد ThiefQuest تحت عنوان نرمافزار DJ موسوم به Mixed In Key و پلتفرم موسيقي Ableton هم ديده شده است.
دوادوس ميگويد خود بدافزار بهگونهاي طراحي شده است تا شبيه به يك برنامهي Google Software Update بهانديشه متخصصين برسد. درنهايت بهانديشه متخصصين نميرسد باجافزار مذكور در ابعاد قابلتوجهي توزيع شده باشد. ظاهرا هيچكس هم تاكنون به آدرس بيتكوين ارائهشده توسط مجرمان سايبري، باج واريز نكرده است.
كاربران قرباني باجافزار جديد، احتمالا نصبكنندهي آن را از تورنت دانلود ميكنند. در مراحل بعدي، اپل هم هشدارهايي جدي در زمان نصب نرمافزار نمايش ميدهد. درنتيجه ميتوان بهترين راه براي جلوگيري از آلوده شدن به باجافزار را همان رويكردهاي امنيتي شخصي و متخصصي دانست كه مهمتر از همه، شامل دانلود و نصب نرمافزار از منابع معتبر ميشود. توسعهدهندههايي كه مجوز (Sign) رسمي از اپل دارند و خود اپ استور اپل، منابع معتبري براي نصب نرمافزار در مك هستند. نكتهي قابلتوجه اينكه اپل هنوز اظهار انديشه متخصصيني پيرامون باجافزار جديد ارائه نكرده است.
تركيب قابليتهاي باجافزاري و جاسوسافزاري در ThiefQuest بسيار عجيب بهانديشه متخصصين ميرسد
همانطور كه گفته شد، ThiefQuest قابليتهاي بسيار زيادي دارد و باجافزار را با جاسوسافزار تركيب ميكند. ازطرفي هنوز هدف و برنامهي نهايي توسعهدهندهي آن مشخص نيست. دليل اصلي را ميتوان در ناقص بودن بخش باجافزار مشاهده كرد. باجافزار تنها يك آدرس بيتكوين را به قرباني نمايش ميدهد تا باج موردانديشه متخصصين را به آن واريز كند. باتوجهبه طبيعيت ناشناس شبكهي بيتكوين، هكرها متوجه نميشوند كه كدام قرباني، باج را پرداخت كرده است. بهعلاوه، هيچ آدرس رايانامهي هم در پيام باجافزار ديده نميشود. عموما آدرس رايانامه در باجافزارها براي گفتوگو بين قرباني و مجرم استفاده ميشود تا اطلاعات رمزگشايي اطلاعات و همچنين پرداخت، تبادل شود. درنهايت ميتوان ادعا كرد كه گروه توسعهدهندهي ThiefQuest، برنامههاي باجافزاري آنچنان جدي نداشتهاند. واردل هم در تحليلهاي خود متوجه شد كه با وجود حضور قابليتهاي رمزگذاري اطلاعاتي در ThiefQuest، ظاهرا مجرمان تصميمي جدي براي استفادهي گسترده از آن بخش نداشتهاند.
محققان امنيتي اعتقاد دارند مجرمان سايبري با برنامههاي جاسوسي نصب جاسوسافزار، عمدتا بهدنبال مخفي كردن فعاليت و حضور خود در كامپيوتر قرباني هستند. درنتيجه تركيب بدافزار جديد با سيستم باجافزار، آنچنان منطقي بهانديشه متخصصين نميرسد. بههرحال وقتي پيام باجافزار به قرباني نمايش داده ميشود، عملكرد او در سيستم تغيير ميكند و متوجه حضور يك عامل بيروني ميشود. در چنين وضعيتي متخصص قطعا فعاليتهاي ديگر مانند خريد الكترونيك يا استفاده از كارتهاي اعتباري به هر دليل ديگر را متوقف ميكند. ازطرفي، باجافزارها عموما نياز به حضور ادامهدار در كامپيوتر قرباني، حتي پس از بارگذاري مجدد را ندارند و تنها با يك بار رمزگذاري فايلها، كار خود را انجام ميدهند. درنهايت وقتي يك نرمافزار مخرب، خود را بهصورت بدافزار نشان ميدهد و حضوري ادامهدار هم دارد، جامعهي محققان سايبري آن را با دقت مطالعه و تحليل ميكنند و فعاليتهاي آتياش هم مسدود ميشود.
ريد دربارهي تحليل عملكرد ThiefQuest ميگويد: «وقتي شما تصميم داريد تا از كامپيوتر قرباني فايل و اطلاعات استخراج كنيد، عموما عملكردي مخفيانه خواهيد داشت و در پسزمينه، بهصورت كاملا بيصدا كار خود را انجام ميدهيد. اين باجافزار سروصداي زيادي داشت و سيستم من هر ۳۰ ثانيه، پيام هشدار ارسال ميكرد».
بدافزار جديد مك، قابليتهاي مبهمي براي مخفي نگه داشتن عمليات خود دارد. بهعنوان مثال اگر ابزارهاي امنيتي همچون آنتيويروس نورتون روي سيستم متخصص نصب شده باشند، باجافزار عمل نميكند. بهعلاوه در محيطهايي همچون محيطهاي آزمايش امنيتي و سيستمهاي مجازي نيز شاهد عملكرد آنچنان جدي بدافزار نيستيم. در تحليل كدهاي زيرساختي بدافزار نيز برخي از قابليتها بهصورت مخفي هستند و برخي ديگر، بهراحتي شناسايي ميشوند.
واردل اعتقاد دارد بدافزار جديد مك ابتدا با هدف اجراي ماژول جاسوسافزار اجرا ميشود تا اطلاعات لازم را از سيستم قرباني استخراج كند. در مرحلهي آخر، باجافزار پر سروصدا اجرا ميشود تا بهعنوان تلاش پاياني، از رمزگذاري اطلاعات و دريافت باج، درآمد اضافهاي را براي گروه مجرم سايبري فراهم كند. در برخي از آزمايشها، سيستم باجافزار بهراحتي اجرا نشد و فايلها را رمزنگاري نكرد. بههرحال بهانديشه متخصصين ميرسد با بدافزاري مملو از باگ روبهرو هستيم كه هدف نهايي توسعهدهندههاي آن نيز مشخص نيست.
باتوجهبه توزيع بدافزار ازطريق تورنت و اهداف درآمدزايي كه براي توسعهدهندهها دارد، محققان پيشبيني ميكنند كه گروه هكري خرابكاري آن را ساختهاند و خبري از سازمانهاي جاسوسي دولتي نيست. چنين بدافزارهايي قبلا در ويندوز به دفعات ديده شدهاند. يكي از خطرناكترين نمونههاي NotPetya بود كه با ظاهر باجافزار، فعاليتهاي جاسوسي و استخراج اطلاعات مخربي را انجام داد. درنهايت عملكرد مجرمان سايبري ThiefQuest ميتواند كسب درآمد از باجافزار يا استفاده از آن بهعنوان ابزاري براي پرت كردن حواس قرباني و جاسوسي اطلاعاتي باشد. بههرحال در بدافزارهاي مرتبط با مك، هميشه اين سؤال مطرح ميشود كه حركت بعدي مجرمان چيست؟
هم انديشي ها