بدافزار مرموز مک پس از یک دهه کشف شد: Fruitfly با تمرکز روی کاربران خانگی MacOS

توضیحات: حسن کریمی; دسته: اخبار امنیت; 03 مرداد 1396 21:05

بدافزار مرموزی که به نفوذگران امکان کنترل وب‌کم، صفحه‌کلید و دیگر مولفه‌های سخت‌افزاری کامپیوتر قربانی را می‌دهد در حدود یک دهه کامپیوترهای مک را آلوده کرده است. این بدافزار که تاکنون صدها کاربر را قربانی کرده به تازگی توسط محققان رصد شده است.

Patrick Wardle از محققان شرکت امنیتی Synack این بدافزار را زیرشاخه بدافزار دیگری می‌داند که در ماه ژانویه رصد شده بود. این بدافزار که نام Fruitfly را یدک می کشد امکان ثبت اسکرین شات، ذخیره اطلاعات مربوط به کلیدهای فشرده شده روی صفحه‌کلید کامپیوتر کاربر، گرفتن عکس از طریق وبکم و دریافت اطلاعات مربوط به کامپیوترهای مک را فراهم می‌کند. این بدافزار دو نسل متفاوت داشته و هر دو نسل آن نیز اطلاعات مربوط به دستگاه‌های متصل به شبکه را جمع‌آوری می‌کنند. پس از آنکه محققان شرکت امنیتی Malwarebytes نسل اول این بدافزار را کشف کردند اپل به روزرسانی ویژه‌ای را برای MacOS ارائه کرد تا فرایند تشخیص Fruitfly به‌طور خودکار انجام شود.
این در حالی است که نسل دومی که توسط Wardle کشف شد، طیف وسیع‌تری از کامپیوترهای مک را آلوده کرده و نکته قابل توجه اینکه توسط MacOS‌ و نرم‌افزارهای آنتی ویروس هم رصد نشده بود. پس از تحلیل نسل جدید این بدافزار، فرایند رمزگشایی از دامنه‌های پشتیبانی که در این بدافزار کدنویسی شده بودند نیز امکان پذیر شد.
در کمال تعجب، دامنه‌های اینترنتی در دسترس بودند. پس از گذشت دو روز از فرایند ثبت یکی از آدرس ها توسط محققان، چیزی حدود ۴۰۰ کامپیوتر مک آلوده به این بدافزار که اکثراً از کامپیوتر‌های شخصی کاربران آمریکایی بودند به این سرور متصل شدند. اگرچه Wardle چیزی فراتر از مشاهده آدرس آی‌پی‌ها و نام کاربری سیستم‌های آلوده متصل به سرور انجام نداد اما این امکان فراهم بود تا جاسوسی از کاربران آلوده به‌طور کامل انجام شود.
Wardle در گفتگو با وب‌سایت Arstechnica در این خصوص می‌گوید:

این حملات نشان می‌دهد افرادی وجود دارند که بیماری ذهنی داشته و تنها به قصد شیطنت، به آلودگی کامپیوترهای کاربران می‌پردازند.

اگرچه راهکار استفاده شده برای آلوده کردن این کامپیوترها هنوز شناسایی نشده است اما Wardle احتمال می‌دهد که این بدافزار از طریق ترغیب کاربران به کلیک روی لینک‌های آلوده یا استفاده از حفره‌های امنیتی در اپلیکیشن‌های MacOS توزیع شده باشد. نکته قابل توجه آن است که بسیاری از کاربران سیستم عامل مک به امنیت کامپیوترهای خود اطمینان کامل دارند اما این کشف نشان می‌دهد که افرادی هم وجود دارند که ممکن است از بیرون به کامپیوتر شما نفوذ کنند.
جدا از راهکار استفاده شده برای آلوده کردن کامپیوترها، هنوز هدف اصلی انتشار این بدافزار مشخص نشده است. Wardle اعلام کرده هیچ دلیل و مدرک واضحی که نشان دهد از این بدافزار می‌توان برای نصب باج افزار یا جمع‌آوری اطلاعات حساس و بانکی استفاده کرد، در دست ندارد. همین امر، تردید در تمرکز توسعه دهندگان Fruitfly روی اهداف مالی را برطرف می‌کند. در عین حال، تمرکز روی کاربران خانگی ممکن است این ذهنیت را ایجاد کند که نفوذگران دولتی یا جاسوسان قصد استفاده از این بدافزار را به منظور حمله به اهداف از پیش مشخص شده داشته‌اند.
اگرچه سرورهای اولیه مربوط به ارسال دستور و کنترل این بدافزار، پیش از این از کار افتاده بودند اما بسیاری از کامپیوترهای مک آلوده هنوز هم پاکسازی نشده‌اند. از همین رو، سیستم‌های آلوده به محض آنکه دامنه‌های اینترنتی در دسترس قرار می‌گیرند به آن‌ها متصل می‌شوند. محققان معتقدند Fruitfly دیگر توسط سازندگانش پشتیبانی نمی‌شود. این در حالی است که اگر شخصی به ثبت دامنه‌های یادشده اقدام کند امکان بهره‌برداری از این بدافزار را خواهد داشت. از همین رو گزارش‌ها به مقامات ارسال شده تا این دامنه‌های اینترنتی از دسترس خارج شوند. این راهکار می‌تواند به خنثی کردن تهدیدات این بدافزار خطرناک کمک کند. در طرف مقابل، اپل هنوز اظهارنظری در خصوص ابعاد مختلف حملات این بدافزار نداشته است.
در اینگونه موارد، محققان معمولاً از روش مهندسی معکوس برای تشخیص سازوکار بدافزارها استفاده می‌کنند. به این صورت که آلودگی کامپیوتر آزمایشگاهی در دستورکار قرار می‌گیرد تا نحوه تعامل سیستم آلوده با سرور پشتیبان مشخص شود. به این ترتیب، محققان می‌توانند با استفاده از راهکاری ساده تشخیص دهند که ورودی‌های مختلف، چه نتیجه‌ای خواهند داشت. توضیحات کامل در خصوص نحوه عملکرد این بدافزار، روز چهارشنبه چهارم مرداد ماه در کنفرانس امنیتی Black Hat در لاس وگاس ارائه خواهد شد.