گروه جهانی تحقیق و آنالیز شرکت کسپراسکای(Kaspersky یکی از بزرگترین شرکتهای امنیت سایبری و تولید کنندهی نرمافزارهای ضد ویروس) به تازگی نوع جدیدی از نرمافزارهای مخرب را کشف کرده است که به عنوان یک نرمافزار تجاری قانونی شناخته میشود اما قادر به خرابکاری است و در صورت آلوده کردن سیستمهای قربانی، به حالت غیرقابل شناسایی در خواهد آمد.
به نظر میرسد که عاملین و توسعه دهندگان این بدافزار گروه Lazarus باشند، گروهی که گفته میشود از دولت کرهی شمالی پشتیبانی میکنند و اغلب به دلیل حملات با اهداف و انگیزهی مالی شهرت دارند.
بدافزار Lazarus سیستمعاملهای MacOS را هدف قرار داده است
این بخش از کمپانی کسپراسکای معتقد است که یک نوع خاص مرتبط با لینوکس از این بدافزار با نام AppleJeus وجود دارد که نشان میدهد این گروه هکر با امید اینکه در سیستمعاملهای مختلف بدافزار آنها با مشکلی روبرو نشود، در حال ساخت انواع مختلفی از بدافزار برای سیستمعاملهای مختلف هستند.
محققان اظهار میکنند که این مورد میتواند زنگ خطری برای پلتفرمهای غیر ویندوزی از جمله macOS، Linux و یا هر سیستمعامل دیگری باشد.
این بدافزار از سمت یک ناشر معتبر نرمافزار معرفی میشود
بیشترین نگرانی مربوط به بدافزار AppleJeus این است که خودش را در غالب یک نرمافزار مبادلهی رمزارزی با ظاهری موجه به نام Celas Trade Pro معرفی میکند. ناشر این نرمافزار یک گواهی دیجیتالی معتبر و یک دامنهی ثبت شدهی به ظاهر قانونی دارد.
با این حال، پس از تحقیقات عمیقتر، محققات در Kaspersky به این نتیجه رسیدند که آدرس ذکر شده در گواهینامه برای کسب و کار این ناشر، جعلی بوده است.
کورت باومگارتنر(Kurt Baumgartner) سرپرست تحقیقات در Kaspersky گفت:
زمانی که زمان شروع به بررسی بیتها و بخشهای مختلف پشت این برنامه میکنید، با شواهدی روبرو میشوید که بر قانونی بودن آن حتی تاکید بیشتری دارد. Kurt Baumgartner
بدون شک کشف این بدافزار دشوار است زیرا برای یک کاربر عادی شناسایی بدافزار با وجود یک برنامهی دارای گواهینامهی دیجیتالی معتبر، غیر ممکن خواهد بود.
Operation AppleJeus چگونه هدف خود را آلوده میکند؟
بخش GreAT از شرکت کسپراسکای در زمان تحقیق و بررسی یک نقض امنیتی مربوط به یک صرافی رمزارزی به چیزی رسید که با نام عملیات AppleJeus یا Operation AppleJeus از آن یاد میشود. پس از تجزیه و تحلیلهای بیشتر، آنها قادر به تشخیص این عامل مخرب مربوط به بدافزار یاد شده، بودند.
همانطور که پیشتر نیز به آن اشاره شد، بدافزار AppleJeus خودش را در غالب یک نرمافزار قانونی مبادلهی رمزارزی با نام Celas Trade Pro مخفی میکند. هنگامی که کاربر اقدام به دانلود و نصب این نرمافزار مخصوص سیستمعاملهای macOS میکند، یک ماژول پنهان بروز رسانی خود در پس زمینهی رایانه رها میشود.
در یک نرمافزار استاندارد، Auto-updater یا بروز رسانی خودکار جهت پیدا کردن و نصب جدیدترین نسخه از نرمافزارها و بروز رسانی بدون نیاز به مشارکت کاربر، طراحی میشوند؛ اما در مورد Celas Trade Pro، بروز رسانی خودکار سریعا پس از فعالسازی، شروع به جمعآوری اطلاعات در مورد دستگاه میزبان میکند.
پس از آن، بدافزار شروع به ارسال تمامی اطلاعات جمعآوری شده از سیستم قربانی به یک سرور فرمان و کنترل(C&C یا Command-and-Control) میکند تا هکرها دادههای دریافتی را تجزیه و تحلیل کنند. زمانی که هکرها فکر کنند که رایانهی آلوده شده ارزش مورد هدف قرار گرفتن را دارد، سریعا برای نصب یک بروز رسانی دیگر با نام FallChill که همان بدافزار اصلی است، دستورات لازم را ارسال میکنند.
پس از نصب FallChill، این تروجان یک دسترسی آزاد به تمامی بخشهای رایانهی آلوده را برای هکرها فراهم میکند که به آنها اجازه میدهد تا اطلاعات مالی حساس(یا هر نوع دادهای که بخواهند را) سرقت کنند.
نظر شما در رابطه با کشف این بدافزار جدید چیست؟ چه راهکاریهایی برای مقابله با آنها وجود دارد؟ نظرات خود را با ما به اشتراک بگذارید.