بدافزار رمزارزی جدید برای سیستم‌عامل‌های macOS

گروه جهانی تحقیق و آنالیز شرکت کسپراسکای(Kaspersky یکی از بزرگ‌ترین شرکت‌های امنیت سایبری و تولید کننده‌ی نرم‌افزار‌های ضد ویروس) به تازگی نوع جدیدی از نرم‌افزار‌های مخرب را کشف کرده است که به عنوان یک نرم‌افزار تجاری قانونی شناخته می‌شود اما قادر به خرابکاری است و در صورت آلوده کردن سیستم‌های قربانی، به حالت غیرقابل شناسایی در خواهد آمد.

به نظر می‌رسد که عاملین و توسعه دهندگان این بدافزار گروه Lazarus باشند، گروهی که گفته می‌شود از دولت کره‌ی شمالی پشتیبانی می‌کنند و اغلب به دلیل حملات با اهداف و انگیزه‌ی مالی شهرت دارند.

بدافزار Lazarus سیستم‌عامل‌های MacOS را هدف قرار داده است

طبق گزارشات منتشر شده از سوی بخش GReAT به نظر می‌رسد که بدافزار یاد شده به صورت انحصاری برای سیستم عامل‌های MacOS ساخته شده است و صرافی‌های رمزارزی را مورد هدف قرار داده است. باید یادآور شویم که به نظر می‌رسد این اولین بازی باشد که گروه Lazarus یک بدافزار با اکوسیستم macOS طراحی کرده باشند، بدافزاری که نشان می‌دهد این گروه به طرح دامنه‌ی گسترده‌تری از پلت‌فرم‌ها و سیستم عامل‌های مختلف حرکت کرده است.

این بخش از کمپانی کسپراسکای معتقد است که یک نوع خاص مرتبط با لینوکس از این بدافزار با نام AppleJeus وجود دارد که نشان می‌دهد این گروه هکر با امید اینکه در سیستم‌عامل‌های مختلف بدافزار آن‌ها با مشکلی روبرو نشود، در حال ساخت انواع مختلفی از بدافزار برای سیستم‌عامل‌های مختلف هستند.

محققان اظهار می‌کنند که این مورد می‌تواند زنگ خطری برای پلت‌فرم‌های غیر ویندوزی از جمله macOS، Linux و یا هر سیستم‌عامل دیگری باشد.

این بدافزار از سمت یک ناشر معتبر نرم‌افزار معرفی می‌شود

بیشترین نگرانی مربوط به بدافزار AppleJeus این است که خودش را در غالب یک نرم‌افزار مبادله‌ی رمزارزی با ظاهری موجه به نام Celas Trade Pro معرفی می‌کند. ناشر این نرم‌افزار یک گواهی دیجیتالی معتبر و یک دامنه‌ی ثبت شده‌ی به ظاهر قانونی دارد.

با این حال، پس از تحقیقات عمیق‌تر، محققات در Kaspersky به این نتیجه رسیدند که آدرس ذکر شده در گواهی‌نامه برای کسب و کار این ناشر، جعلی بوده است.

کورت باومگارتنر(Kurt Baumgartner) سرپرست تحقیقات در Kaspersky گفت:

زمانی که زمان شروع به بررسی بیت‌ها و بخش‌های مختلف پشت این برنامه می‌کنید، با شواهدی روبرو می‌شوید که بر قانونی بودن آن حتی تاکید بیشتری دارد.

Kurt Baumgartner

بدون شک کشف این بدافزار دشوار است زیرا برای یک کاربر عادی شناسایی بدافزار با وجود یک برنامه‌ی دارای گواهی‌نامه‌ی دیجیتالی معتبر، غیر ممکن خواهد بود.

Operation AppleJeus چگونه هدف خود را آلوده می‌کند؟

بخش GreAT از شرکت کسپراسکای در زمان تحقیق و بررسی یک نقض امنیتی مربوط به یک صرافی رمزارزی به چیزی رسید که با نام عملیات AppleJeus یا Operation AppleJeus از آن یاد می‌شود. پس از تجزیه و تحلیل‌های بیشتر، آن‌ها قادر به تشخیص این عامل مخرب مربوط به بدافزار یاد شده، بودند.

همانطور که پیشتر نیز به آن اشاره شد، بدافزار AppleJeus خودش را در غالب یک نرم‌افزار قانونی مبادله‌ی رمزارزی با نام Celas Trade Pro مخفی می‌کند. هنگامی که کاربر اقدام به دانلود و نصب این نرم‌افزار مخصوص سیستم‌عامل‌های macOS می‌کند، یک ماژول پنهان بروز رسانی خود در پس زمینه‌ی رایانه رها می‌شود.

در یک نرم‌افزار استاندارد، Auto-updater یا بروز رسانی خودکار جهت پیدا کردن و نصب جدید‌ترین نسخه از نرم‌افزارها و بروز رسانی بدون نیاز به مشارکت کاربر، طراحی می‌شوند؛ اما در مورد Celas Trade Pro، بروز رسانی خودکار سریعا پس از فعال‌سازی، شروع به جمع‌آوری اطلاعات در مورد دستگاه میزبان می‌کند.

پس از آن، بد‌افزار شروع به ارسال تمامی اطلاعات جمع‌آوری شده از سیستم قربانی به یک سرور فرمان و کنترل(C&C یا Command-and-Control) می‌کند تا هکر‌ها داده‌های دریافتی را تجزیه و تحلیل کنند. زمانی که هکر‌ها فکر کنند که رایانه‌ی آلوده شده ارزش مورد هدف قرار گرفتن را دارد، سریعا برای نصب یک بروز رسانی دیگر با نام FallChill که همان بدافزار اصلی است، دستورات لازم را ارسال می‌کنند.

پس از نصب FallChill، این تروجان یک دسترسی آزاد به تمامی بخش‌های رایانه‌ی آلوده را برای هکر‌ها فراهم می‌کند که به آن‌ها اجازه می‌دهد تا اطلاعات مالی حساس(یا هر نوع داده‌ای که بخواهند را) سرقت کنند.

نظر شما در رابطه با کشف این بدافزار جدید چیست؟ چه راهکاری‌هایی برای مقابله با آن‌ها وجود دارد؟ نظرات خود را با ما به اشتراک بگذارید.