باج‌افزار جديد مك، خطرناك‌تر از آن چيزي است كه به‌انديشه متخصصين مي‌رسد

امنيت
دوشنبه ۱۶ تير ۱۳۹۹ - ۱۴:۰۰
مطالعه 6 دقيقه
مرجع متخصصين ايران
مهدي زارع سريزدي
مرجع متخصصين ايران
باج‌افزاري موسوم به ThiefQuest يا EvilQuest متخصصان سيستم‌عامل مك را تهديد مي‌كند كه ظاهرا از توانايي‌هايي براي استخراج رمز عبور كارت‌هاي اعتباري نيز برخوردار است.
تبليغات

باج‌افزارها از سال‌ها پيش به‌عنوان يكي از خطرناك‌ترين تهديدهاي سايبري شناخته مي‌شدند. تا چهار سال پيش كه اولين باج‌افزار خطرناك مك شناسايي شد، تصور عمومي بر آن بود كه سيستم‌عامل اپل، آسيب‌پذيري كمتري در برابر اين دسته از بدافزارها دارد. چند روز پيش، يك محقق امنيتي به‌نام Dinesh Devadoss، از كشف باج‌افزار جديدي در مك خبر داد كه ظاهرا خطر زيادي براي متخصصان دارد. او كه به‌عنوان محقق در شركت امنيتي K7 Lab فعاليت مي‌كند، جزئيات عملكرد باج‌افزار را منتشر كرد كه پيامدهايي جدي در رسانه‌هاي امنيت سايبري جهان داشت.

محققان، ابتدا نام EvilQuest را براي باج‌افزار جديد مك انتخاب كردند. پس از آن‌ كه مشخص شد سري بازي‌هاي ويديويي به همين نام و از شركت Steam منتشر شده است، نام باج‌افزار به ThiefQuest تغيير كرد. اطلاعات جديد نشان مي‌دهد بدافزار مذكور، خطرهايي بيش از تصورات اوليه براي متخصصان دارد.

بدافزار جديد مك، توانايي استخراج اطلاعات مهم مالي را هم دارد

بدافزار جديد macOS، علاوه بر عملكرد باج‌افزاري، از مجموعه‌اي از توانايي‌هاي خرابكارانه‌ي ديگر هم بهره مي‌برد. مجرمان با استفاده از آن توانايي انجام فعاليت‌هاي جاسوسي، استخراج فايل‌ها از كامپيوتر آلوده، جست‌وجوي سيستم براي رمزهاي عبور و اطلاعات كيف‌پول رمزارز، اجراي Keylogger و استخراج اطلاعات رمز، كارت‌هاي اعتباري يا ديگر اطلاعات شخصي و مالي متخصص را هم پيدا مي‌كنند. ساختار جاسوس‌افزار، يك در پشتي را نيز در سيستم قرباني ايجاد مي‌كند و درنتيجه پس از بارگذاري مجدد سيستم نيز به فعاليت ادامه مي‌دهد. مجرمان مي‌توانند از آن براي اجراي حمله‌هاي ثانويه هم استفاده كنند. باتوجه‌به اينكه باج‌افزارها در سيستم‌عامل مك، آن‌چنان مرسوم و گسترده نيستند، چنين سبكي از نفوذ و سوءاستفاده‌ي سايبري، قابل‌توجه و خطرناك به‌انديشه متخصصين مي‌رسد.

پاتريك واردل، محقق ارشد اكمنيت سايبري در شركت Jamf درباره‌ي باج‌افزار ThiefQuest مي‌گويد:

با مطالعه كد زيرساختي بدافزار، مي‌توان بخش منطقي باج‌افزار را از منطق در پشتي جدا كرد و هركدام، به‌تنهايي بدافزار مستقل و خطرناكي محسوب مي‌شود. تركيب آن‌ها، قطعا خطرهاي بيشتري را به‌همراه خواهد داشت. من تصور مي‌كنم يك مجرم سايبري اين بدافزار را ابتدا براي نفوذ و در دست گرفتن كنترل كامل كامپيوتر مك طراحي كرده است. سپس قابليت‌هاي باج‌افزاري اضافه شده‌اند تا مجرمان درآمد بيشتري كسب كنند.

با وجود خطرهاي بسياري كه براي باج‌افزار ThiefQuest بيان مي‌شود، خطر آن براي متخصصان عادي كه مراقبت مناسبي در فعاليت‌هاي الكترونيك دارند، آن‌چنان زياد نيست. درواقع اگر متخصص مراقب دانلود كردن نرم‌افزارهاي دزدي يا تقلبي يا موارد مشابه باشد، خطر آن‌چناني او را تهديد نمي‌كند. توماس ريد، محقق ارشد پلتفرم‌هاي موبايل و مك شركت امنيتي Malwarebytes متوجه شد كه بدافزار مخرب، ازطريق سرويس‌هاي تورنت توزيع مي‌شود. او مي‌گويد بدافزار تحت نام نرم‌افزارهاي معتبر و پرطرفداري مانند سرويس امنيتي Little Snitch توزيع مي‌شود. به‌علاوه، در برخي موارد ThiefQuest تحت عنوان نرم‌افزار DJ موسوم به Mixed In Key و پلتفرم موسيقي Ableton هم ديده شده است.

مرجع متخصصين ايران اپليكيشنهاي مك

دوادوس مي‌‌گويد خود بدافزار به‌گونه‌اي طراحي شده است تا شبيه به يك برنامه‌ي Google Software Update به‌انديشه متخصصين برسد. درنهايت به‌انديشه متخصصين نمي‌رسد باج‌افزار مذكور در ابعاد قابل‌توجهي توزيع شده باشد. ظاهرا هيچ‌كس هم تاكنون به آدرس بيت‌كوين ارائه‌شده توسط مجرمان سايبري، باج واريز نكرده است.

كاربران قرباني باج‌افزار جديد، احتمالا نصب‌كننده‌ي آن را از تورنت دانلود مي‌كنند. در مراحل بعدي، اپل هم هشدارهايي جدي در زمان نصب نرم‌افزار نمايش مي‌دهد. درنتيجه مي‌توان بهترين راه براي جلوگيري از آلوده شدن به باج‌افزار را همان رويكردهاي امنيتي شخصي و متخصصي دانست كه مهم‌تر از همه، شامل دانلود و نصب نرم‌افزار از منابع معتبر مي‌شود. توسعه‌دهنده‌هايي كه مجوز (Sign) رسمي از اپل دارند و خود اپ استور اپل، منابع معتبري براي نصب نرم‌افزار در مك هستند. نكته‌ي قابل‌توجه اينكه اپل هنوز اظهار انديشه متخصصيني پيرامون باج‌افزار جديد ارائه نكرده است.

تركيب قابليت‌هاي باج‌افزاري و جاسوس‌افزاري در ThiefQuest بسيار عجيب به‌انديشه متخصصين مي‌رسد

همان‌طور كه گفته شد، ThiefQuest قابليت‌هاي بسيار زيادي دارد و باج‌افزار را با جاسوس‌افزار تركيب مي‌كند. ازطرفي هنوز هدف و برنامه‌ي نهايي توسعه‌دهنده‌ي آن مشخص نيست. دليل اصلي را مي‌توان در ناقص بودن بخش باج‌افزار مشاهده كرد. باج‌افزار تنها يك آدرس بيت‌كوين را به قرباني نمايش مي‌دهد تا باج موردانديشه متخصصين را به آن واريز كند. باتوجه‌به طبيعيت ناشناس شبكه‌‌ي بيت‌كوين، هكرها متوجه نمي‌شوند كه كدام قرباني، باج را پرداخت كرده است. به‌علاوه، هيچ آدرس رايانامهي هم در پيام باج‌افزار ديده نمي‌شود. عموما آدرس رايانامه در باج‌افزارها براي گفت‌وگو بين قرباني و مجرم استفاده مي‌شود تا اطلاعات رمزگشايي اطلاعات و همچنين پرداخت، تبادل شود. درنهايت مي‌توان ادعا كرد كه گروه توسعه‌دهنده‌ي ThiefQuest، برنامه‌هاي باج‌افزاري آن‌چنان جدي نداشته‌اند. واردل هم در تحليل‌هاي خود متوجه شد كه با وجود حضور قابليت‌هاي رمزگذاري اطلاعاتي در ThiefQuest، ظاهرا مجرمان تصميمي جدي براي استفاده‌ي گسترده از آن بخش نداشته‌اند.

محققان امنيتي اعتقاد دارند مجرمان سايبري با برنامه‌هاي جاسوسي نصب جاسوس‌افزار، عمدتا به‌دنبال مخفي كردن فعاليت و حضور خود در كامپيوتر قرباني هستند. درنتيجه تركيب بدافزار جديد با سيستم باج‌افزار، آن‌چنان منطقي به‌انديشه متخصصين نمي‌رسد. به‌هرحال وقتي پيام باج‌افزار به قرباني نمايش داده مي‌شود، عملكرد او در سيستم تغيير مي‌كند و متوجه حضور يك عامل بيروني مي‌شود. در چنين وضعيتي متخصص قطعا فعاليت‌هاي ديگر مانند خريد الكترونيك يا استفاده از كارت‌هاي اعتباري به هر دليل ديگر را متوقف مي‌كند. ازطرفي، باج‌افزارها عموما نياز به حضور ادامه‌دار در كامپيوتر قرباني، حتي پس از بارگذاري مجدد را ندارند و تنها با يك بار رمزگذاري فايل‌ها، كار خود را انجام مي‌دهند. درنهايت وقتي يك نرم‌افزار مخرب، خود را به‌صورت بدافزار نشان مي‌دهد و حضوري ادامه‌دار هم دارد، جامعه‌ي محققان سايبري آن را با دقت مطالعه و تحليل مي‌كنند و فعاليت‌هاي آتي‌اش هم مسدود مي‌شود.

ريد درباره‌ي تحليل عملكرد ThiefQuest مي‌‌گويد: «وقتي شما تصميم داريد تا از كامپيوتر قرباني فايل و اطلاعات استخراج كنيد، عموما عملكردي مخفيانه خواهيد داشت و در پس‌زمينه، به‌صورت كاملا بي‌صدا كار خود را انجام مي‌دهيد. اين باج‌افزار سروصداي زيادي داشت و سيستم من هر ۳۰ ثانيه، پيام هشدار ارسال مي‌كرد».

مرجع متخصصين ايران بدافزار / Malware
مقاله‌هاي مرتبط:

بدافزار جديد مك، قابليت‌هاي مبهمي براي مخفي نگه داشتن عمليات خود دارد. به‌عنوان مثال اگر ابزارهاي امنيتي همچون آنتي‌ويروس نورتون روي سيستم متخصص نصب شده باشند، باج‌افزار عمل نمي‌كند. به‌علاوه در محيط‌هايي همچون محيط‌هاي آزمايش امنيتي و سيستم‌‌هاي مجازي نيز شاهد عملكرد آن‌چنان جدي بدافزار نيستيم. در تحليل كدهاي زيرساختي بدافزار نيز برخي از قابليت‌ها به‌صورت مخفي هستند و برخي ديگر، به‌راحتي شناسايي مي‌شوند.

واردل اعتقاد دارد بدافزار جديد مك ابتدا با هدف اجراي ماژول جاسوس‌افزار اجرا مي‌شود تا اطلاعات لازم را از سيستم قرباني استخراج كند. در مرحله‌ي آخر، باج‌افزار پر سروصدا اجرا مي‌شود تا به‌عنوان تلاش پاياني، از رمزگذاري اطلاعات و دريافت باج، درآمد اضافه‌اي را براي گروه مجرم سايبري فراهم كند. در برخي از آزمايش‌ها، سيستم باج‌افزار به‌راحتي اجرا نشد و فايل‌ها را رمزنگاري نكرد. به‌هرحال به‌انديشه متخصصين مي‌رسد با بدافزاري مملو از باگ روبه‌رو هستيم كه هدف نهايي توسعه‌دهنده‌هاي آن نيز مشخص نيست.

باتوجه‌به توزيع بدافزار ازطريق تورنت و اهداف درآمدزايي كه براي توسعه‌دهنده‌ها دارد، محققان پيش‌بيني مي‌كنند كه گروه هكري خراب‌كاري آن را ساخته‌اند و خبري از سازمان‌هاي جاسوسي دولتي نيست. چنين بدافزارهايي قبلا در ويندوز به دفعات ديده شده‌اند. يكي از خطرناك‌ترين نمونه‌هاي NotPetya بود كه با ظاهر باج‌افزار، فعاليت‌هاي جاسوسي و استخراج اطلاعات مخربي را انجام داد. درنهايت عملكرد مجرمان سايبري ThiefQuest مي‌تواند كسب درآمد از باج‌افزار يا استفاده از آن به‌عنوان ابزاري براي پرت كردن حواس قرباني و جاسوسي اطلاعاتي باشد. به‌هرحال در بدافزارهاي مرتبط با مك، هميشه اين سؤال مطرح مي‌شود كه حركت بعدي مجرمان چيست؟

مقاله رو دوست داشتي؟
انديشه متخصصينت چيه؟
تبليغات
جديد‌ترين مطالب روز

هم انديشي ها

تبليغات

با چشم باز خريد كنيد
اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران شما را براي انتخاب بهتر و خريد ارزان‌تر راهنمايي مي‌كند
ورود به بخش محصولات
موبايل
تبلت
لپ‌تاپ
تلويزيون
ساعت هوشمند
هدفون
هارد
كنسول بازي
كارت گرافيك
پردازنده
مانيتور
SSD
دوربين‌
پاوربانك
شارژر
اسپيكر