کارشناسان امنیتی و پژوهشگران Jamf Threat Labs نسبت به توزیع یک Backdoor (در پشتی)- نوعی بدافزار برای کاربران macOS هشدار دادند.
محققان متوجه شدند که این برنامهها شبیه به بدافزار ZoRu ظاهر میشوند و به مهاجمان اجازه میدهند تا چندین بار برای به خطر انداختن دستگاهها دانلود و اجرا شوند.
سرمنشأ حمله کجا بود؟!
به گفته کارشناسان، اپلیکیشنهای تقلبی که در وبسایتهای جعلی چینی میزبانی میشوند نقطۀ آغازین یا همان سرمنشأ این حملات شناخته شدهاند.
عامل اجرایی با نام fseventsd درون یک فایل DMG قرار داشت که با کپیبرداری از یک نام واقعی به سیستمهای اپل وارد شده و آنها را آلوده میکرد.
این عامل اجرایی، بهقدری دقیق و تمیز کار خود را پیش میبُرد که اجازه نمیداد سیستمهای اپل آن را به عنوان یک فایل مشکوک علامتگذاری کنند.
کارشناسان، پس از بررسیهای بیشتر، دو فایل DMG تروجاندار دیگر را کشف کردند که حاوی بسیاری از اپلیکیشنهای تقلبی بودند و همان بدافزار Backdoor را ایجاد میکردند.
این اپلیکیشنها شبیه به نرمافزارهای قانونی مانند Navicat Premium، UltraEdit، FinalShell، SecureCRT و Microsoft Remote Desktop بودند.
مؤلفههای بدافزار MacOS
کارشناسان امنیتی اعلام کردند هر درخواست جعلی کشفشده، سه مؤلفه داشت:
Malicious dylib: هر زمان که اپلیکیشن باز شد به عنوان یک کشو برای نفوذ به سیستم عمل کند.
Backdoor: یک فایل اجرایی باینری که توسط malicious dylib دانلود میشود و از open-source C2 برای ضربه زدن به سیستم بهره میبرد.
Persistent downloader: یکی دیگر از باینرهای دانلود شده توسط Malicious dylib که هرزنامهها را در سیستم، پیادهسازی میکند.
شباهتهای MacOS Malware با بدافزار ZoRu
محققان ادعا کردند که این بدافزار باتوجه به “کاربرد هدفمند”، “دستورهای بارگذاری اصلاح شده” و “زیرساخت حملهکننده”، رفتاری همچون بدافزار ZoRu دارد.
بدافزار ZoRu که از سال ۲۰۲۱ فعال بود ابتدا کاربران چینی را هدف قرار داد و سپس بهسرعت گسترش یافت.
بدافزاری که ردّ حضورش در اپلیکیشنهای iTerm، SecureCRT و Microsoft Remote Desktop Client دیده شد.
یکی از کارشناسان امنیتی این آزمایشگاه به خبرنگاران گفت: «خبر کشف بدافزار جدید چند روز پس از کشف SpectraBlur backdoor منتشر میشود. یک بدافزار فعال در سیستمعامل macOS که با قابلیت اجرای کد پوسته و ارتباط با سرورC2 با استفاده از سوکتهای RC4-encrypted همراه بود. کشف بدافزار جدید macOS بار دیگر اهمیت افزایش آگاهی در میان کارمندان و سازمانها و ارایۀ آموزشهای لازم به آنان را بیشازپیش، نشان داد.»