Search
Close this search box.
، ، ،

کشف بدافزار MacOS در اپلیکیشن‌های مخرب

بهار قربانپور
اشتراک‌گذاری در:
بدافزار MacOS

کارشناسان امنیتی و پژوهشگران Jamf Threat Labs نسبت به توزیع یک Backdoor (در پشتی)- نوعی بدافزار برای کاربران macOS هشدار دادند.

محققان متوجه شدند که این برنامه‌ها شبیه به بدافزار ZoRu ظاهر می‌شوند و به مهاجمان اجازه می‌دهند تا چندین بار برای به خطر انداختن دستگاه‌ها دانلود و اجرا شوند.

سرمنشأ حمله کجا بود؟!

به گفته کارشناسان، اپلیکیشن‌های تقلبی که در وب‌سایت‌های جعلی چینی میزبانی می‌شوند نقطۀ آغازین یا همان سرمنشأ این حملات شناخته شده‌اند.

عامل اجرایی با نام fseventsd درون یک فایل DMG قرار داشت که با کپی‌برداری از یک نام واقعی به سیستم‌های اپل وارد شده و آن‌ها را آلوده می‌کرد.

این عامل اجرایی، به‌قدری دقیق و تمیز کار خود را پیش می‌‎بُرد که اجازه نمی‌داد سیستم‌های اپل آن را به عنوان یک فایل مشکوک علامت‌گذاری کنند.

کارشناسان، پس از بررسی‌های بیش‌‍تر، دو فایل DMG تروجان‌دار دیگر را کشف کردند که حاوی بسیاری از اپلیکیشن‌‎های تقلبی بودند و همان بدافزار Backdoor را ایجاد می‌کردند.

این اپلیکیشن‌ها شبیه به نرم‌افزارهای قانونی مانند Navicat Premium، UltraEdit، FinalShell، SecureCRT و Microsoft Remote Desktop بودند.

مؤلفه‌های بدافزار MacOS

کارشناسان امنیتی اعلام کردند هر درخواست جعلی کشف‌شده، سه مؤلفه داشت:

Malicious dylib: هر زمان که اپلیکیشن باز شد به عنوان یک کشو برای نفوذ به سیستم عمل کند.

Backdoor: یک فایل اجرایی باینری که توسط malicious dylib دانلود می‌شود و از open-source C2 برای ضربه زدن به سیستم بهره می‌برد.

Persistent downloader: یکی دیگر از باینرهای دانلود شده توسط Malicious dylib که هرزنامه‌ها را در سیستم، پیاده‌سازی می‌کند.

شباهت‌های MacOS Malware با بدافزار ZoRu

محققان ادعا کردند که این بدافزار باتوجه به “کاربرد هدف‌مند”، “دستورهای بارگذاری اصلاح شده” و “زیرساخت حمله‌کننده”، رفتاری همچون بدافزار ZoRu دارد.

بدافزار ZoRu که از سال ۲۰۲۱ فعال بود ابتدا کاربران چینی را هدف قرار داد و سپس به‌سرعت گسترش یافت.

بدافزاری که ردّ حضورش در اپلیکیشن‌های iTerm، SecureCRT و Microsoft Remote Desktop Client دیده شد.

یکی از کارشناسان امنیتی این آزمایشگاه به خبرنگاران گفت: «خبر کشف بدافزار جدید چند روز پس از کشف  SpectraBlur backdoor منتشر می‌شود. یک بدافزار فعال در سیستم‌عامل macOS که با قابلیت اجرای کد پوسته و ارتباط با سرورC2 با استفاده از سوکت‌های RC4-encrypted همراه بود. کشف بدافزار جدید macOS بار دیگر اهمیت افزایش آگاهی در میان کارمندان و سازمان‌ها و ارایۀ آموزش‌های لازم به آنان را بیش‌ازپیش، نشان داد.»

نظرات ارزشمند شما

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *