بدافزار مرموزی که به نفوذگران امکان کنترل وبکم، صفحهکلید و دیگر مولفههای سختافزاری کامپیوتر قربانی را میدهد در حدود یک دهه کامپیوترهای مک را آلوده کرده است. این بدافزار که تاکنون صدها کاربر را قربانی کرده به تازگی توسط محققان رصد شده است.
Patrick Wardle از محققان شرکت امنیتی Synack این بدافزار را زیرشاخه بدافزار دیگری میداند که در ماه ژانویه رصد شده بود. این بدافزار که نام Fruitfly را یدک می کشد امکان ثبت اسکرین شات، ذخیره اطلاعات مربوط به کلیدهای فشرده شده روی صفحهکلید کامپیوتر کاربر، گرفتن عکس از طریق وبکم و دریافت اطلاعات مربوط به کامپیوترهای مک را فراهم میکند. این بدافزار دو نسل متفاوت داشته و هر دو نسل آن نیز اطلاعات مربوط به دستگاههای متصل به شبکه را جمعآوری میکنند. پس از آنکه محققان شرکت امنیتی Malwarebytes نسل اول این بدافزار را کشف کردند اپل به روزرسانی ویژهای را برای MacOS ارائه کرد تا فرایند تشخیص Fruitfly بهطور خودکار انجام شود.
این در حالی است که نسل دومی که توسط Wardle کشف شد، طیف وسیعتری از کامپیوترهای مک را آلوده کرده و نکته قابل توجه اینکه توسط MacOS و نرمافزارهای آنتی ویروس هم رصد نشده بود. پس از تحلیل نسل جدید این بدافزار، فرایند رمزگشایی از دامنههای پشتیبانی که در این بدافزار کدنویسی شده بودند نیز امکان پذیر شد.
در کمال تعجب، دامنههای اینترنتی در دسترس بودند. پس از گذشت دو روز از فرایند ثبت یکی از آدرس ها توسط محققان، چیزی حدود ۴۰۰ کامپیوتر مک آلوده به این بدافزار که اکثراً از کامپیوترهای شخصی کاربران آمریکایی بودند به این سرور متصل شدند. اگرچه Wardle چیزی فراتر از مشاهده آدرس آیپیها و نام کاربری سیستمهای آلوده متصل به سرور انجام نداد اما این امکان فراهم بود تا جاسوسی از کاربران آلوده بهطور کامل انجام شود.
Wardle در گفتگو با وبسایت Arstechnica در این خصوص میگوید:
این در حالی است که نسل دومی که توسط Wardle کشف شد، طیف وسیعتری از کامپیوترهای مک را آلوده کرده و نکته قابل توجه اینکه توسط MacOS و نرمافزارهای آنتی ویروس هم رصد نشده بود. پس از تحلیل نسل جدید این بدافزار، فرایند رمزگشایی از دامنههای پشتیبانی که در این بدافزار کدنویسی شده بودند نیز امکان پذیر شد.
در کمال تعجب، دامنههای اینترنتی در دسترس بودند. پس از گذشت دو روز از فرایند ثبت یکی از آدرس ها توسط محققان، چیزی حدود ۴۰۰ کامپیوتر مک آلوده به این بدافزار که اکثراً از کامپیوترهای شخصی کاربران آمریکایی بودند به این سرور متصل شدند. اگرچه Wardle چیزی فراتر از مشاهده آدرس آیپیها و نام کاربری سیستمهای آلوده متصل به سرور انجام نداد اما این امکان فراهم بود تا جاسوسی از کاربران آلوده بهطور کامل انجام شود.
Wardle در گفتگو با وبسایت Arstechnica در این خصوص میگوید:
این حملات نشان میدهد افرادی وجود دارند که بیماری ذهنی داشته و تنها به قصد شیطنت، به آلودگی کامپیوترهای کاربران میپردازند.
اگرچه راهکار استفاده شده برای آلوده کردن این کامپیوترها هنوز شناسایی نشده است اما Wardle احتمال میدهد که این بدافزار از طریق ترغیب کاربران به کلیک روی لینکهای آلوده یا استفاده از حفرههای امنیتی در اپلیکیشنهای MacOS توزیع شده باشد. نکته قابل توجه آن است که بسیاری از کاربران سیستم عامل مک به امنیت کامپیوترهای خود اطمینان کامل دارند اما این کشف نشان میدهد که افرادی هم وجود دارند که ممکن است از بیرون به کامپیوتر شما نفوذ کنند.
جدا از راهکار استفاده شده برای آلوده کردن کامپیوترها، هنوز هدف اصلی انتشار این بدافزار مشخص نشده است. Wardle اعلام کرده هیچ دلیل و مدرک واضحی که نشان دهد از این بدافزار میتوان برای نصب باج افزار یا جمعآوری اطلاعات حساس و بانکی استفاده کرد، در دست ندارد. همین امر، تردید در تمرکز توسعه دهندگان Fruitfly روی اهداف مالی را برطرف میکند. در عین حال، تمرکز روی کاربران خانگی ممکن است این ذهنیت را ایجاد کند که نفوذگران دولتی یا جاسوسان قصد استفاده از این بدافزار را به منظور حمله به اهداف از پیش مشخص شده داشتهاند.
اگرچه سرورهای اولیه مربوط به ارسال دستور و کنترل این بدافزار، پیش از این از کار افتاده بودند اما بسیاری از کامپیوترهای مک آلوده هنوز هم پاکسازی نشدهاند. از همین رو، سیستمهای آلوده به محض آنکه دامنههای اینترنتی در دسترس قرار میگیرند به آنها متصل میشوند. محققان معتقدند Fruitfly دیگر توسط سازندگانش پشتیبانی نمیشود. این در حالی است که اگر شخصی به ثبت دامنههای یادشده اقدام کند امکان بهرهبرداری از این بدافزار را خواهد داشت. از همین رو گزارشها به مقامات ارسال شده تا این دامنههای اینترنتی از دسترس خارج شوند. این راهکار میتواند به خنثی کردن تهدیدات این بدافزار خطرناک کمک کند. در طرف مقابل، اپل هنوز اظهارنظری در خصوص ابعاد مختلف حملات این بدافزار نداشته است.
در اینگونه موارد، محققان معمولاً از روش مهندسی معکوس برای تشخیص سازوکار بدافزارها استفاده میکنند. به این صورت که آلودگی کامپیوتر آزمایشگاهی در دستورکار قرار میگیرد تا نحوه تعامل سیستم آلوده با سرور پشتیبان مشخص شود. به این ترتیب، محققان میتوانند با استفاده از راهکاری ساده تشخیص دهند که ورودیهای مختلف، چه نتیجهای خواهند داشت. توضیحات کامل در خصوص نحوه عملکرد این بدافزار، روز چهارشنبه چهارم مرداد ماه در کنفرانس امنیتی Black Hat در لاس وگاس ارائه خواهد شد.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت