باجافزاری موسوم به ThiefQuest یا EvilQuest کاربران سیستمعامل مک را تهدید میکند که ظاهرا از تواناییهایی برای استخراج رمز عبور کارتهای اعتباری نیز برخوردار است.
باجافزارها از سالها پیش بهعنوان یکی از خطرناکترین تهدیدهای سایبری شناخته میشدند. تا چهار سال پیش که اولین باجافزار خطرناک مک شناسایی شد، تصور عمومی بر آن بود که سیستمعامل اپل، آسیبپذیری کمتری در برابر این دسته از بدافزارها دارد. چند روز پیش، یک محقق امنیتی بهنام Dinesh Devadoss، از کشف باجافزار جدیدی در مک خبر داد که ظاهرا خطر زیادی برای کاربران دارد. او که بهعنوان محقق در شرکت امنیتی K7 Lab فعالیت میکند، جزئیات عملکرد باجافزار را منتشر کرد که پیامدهایی جدی در رسانههای امنیت سایبری جهان داشت.
محققان، ابتدا نام EvilQuest را برای باجافزار جدید مک انتخاب کردند. پس از آن که مشخص شد سری بازیهای ویدیویی به همین نام و از شرکت Steam منتشر شده است، نام باجافزار به ThiefQuest تغییر کرد. اطلاعات جدید نشان میدهد بدافزار مذکور، خطرهایی بیش از تصورات اولیه برای کاربران دارد.
بدافزار جدید macOS، علاوه بر عملکرد باجافزاری، از مجموعهای از تواناییهای خرابکارانهی دیگر هم بهره میبرد. مجرمان با استفاده از آن توانایی انجام فعالیتهای جاسوسی، استخراج فایلها از کامپیوتر آلوده، جستوجوی سیستم برای رمزهای عبور و اطلاعات کیفپول رمزارز، اجرای Keylogger و استخراج اطلاعات رمز، کارتهای اعتباری یا دیگر اطلاعات شخصی و مالی کاربر را هم پیدا میکنند. ساختار جاسوسافزار، یک در پشتی را نیز در سیستم قربانی ایجاد میکند و درنتیجه پس از بارگذاری مجدد سیستم نیز به فعالیت ادامه میدهد. مجرمان میتوانند از آن برای اجرای حملههای ثانویه هم استفاده کنند. باتوجهبه اینکه باجافزارها در سیستمعامل مک، آنچنان مرسوم و گسترده نیستند، چنین سبکی از نفوذ و سوءاستفادهی سایبری، قابلتوجه و خطرناک بهنظر میرسد.
پاتریک واردل، محقق ارشد اکمنیت سایبری در شرکت Jamf دربارهی باجافزار ThiefQuest میگوید:
با بررسی کد زیرساختی بدافزار، میتوان بخش منطقی باجافزار را از منطق در پشتی جدا کرد و هرکدام، بهتنهایی بدافزار مستقل و خطرناکی محسوب میشود. ترکیب آنها، قطعا خطرهای بیشتری را بههمراه خواهد داشت. من تصور میکنم یک مجرم سایبری این بدافزار را ابتدا برای نفوذ و در دست گرفتن کنترل کامل کامپیوتر مک طراحی کرده است. سپس قابلیتهای باجافزاری اضافه شدهاند تا مجرمان درآمد بیشتری کسب کنند.
با وجود خطرهای بسیاری که برای باجافزار ThiefQuest بیان میشود، خطر آن برای کاربران عادی که مراقبت مناسبی در فعالیتهای آنلاین دارند، آنچنان زیاد نیست. درواقع اگر کاربر مراقب دانلود کردن نرمافزارهای دزدی یا تقلبی یا موارد مشابه باشد، خطر آنچنانی او را تهدید نمیکند. توماس رید، محقق ارشد پلتفرمهای موبایل و مک شرکت امنیتی Malwarebytes متوجه شد که بدافزار مخرب، ازطریق سرویسهای تورنت توزیع میشود. او میگوید بدافزار تحت نام نرمافزارهای معتبر و پرطرفداری مانند سرویس امنیتی Little Snitch توزیع میشود. بهعلاوه، در برخی موارد ThiefQuest تحت عنوان نرمافزار DJ موسوم به Mixed In Key و پلتفرم موسیقی Ableton هم دیده شده است.
دوادوس میگوید خود بدافزار بهگونهای طراحی شده است تا شبیه به یک برنامهی Google Software Update بهنظر برسد. درنهایت بهنظر نمیرسد باجافزار مذکور در ابعاد قابلتوجهی توزیع شده باشد. ظاهرا هیچکس هم تاکنون به آدرس بیتکوین ارائهشده توسط مجرمان سایبری، باج واریز نکرده است.
کاربران قربانی باجافزار جدید، احتمالا نصبکنندهی آن را از تورنت دانلود میکنند. در مراحل بعدی، اپل هم هشدارهایی جدی در زمان نصب نرمافزار نمایش میدهد. درنتیجه میتوان بهترین راه برای جلوگیری از آلوده شدن به باجافزار را همان رویکردهای امنیتی شخصی و کاربری دانست که مهمتر از همه، شامل دانلود و نصب نرمافزار از منابع معتبر میشود. توسعهدهندههایی که مجوز (Sign) رسمی از اپل دارند و خود اپ استور اپل، منابع معتبری برای نصب نرمافزار در مک هستند. نکتهی قابلتوجه اینکه اپل هنوز اظهار نظری پیرامون باجافزار جدید ارائه نکرده است.
همانطور که گفته شد، ThiefQuest قابلیتهای بسیار زیادی دارد و باجافزار را با جاسوسافزار ترکیب میکند. ازطرفی هنوز هدف و برنامهی نهایی توسعهدهندهی آن مشخص نیست. دلیل اصلی را میتوان در ناقص بودن بخش باجافزار مشاهده کرد. باجافزار تنها یک آدرس بیتکوین را به قربانی نمایش میدهد تا باج موردنظر را به آن واریز کند. باتوجهبه طبیعیت ناشناس شبکهی بیتکوین، هکرها متوجه نمیشوند که کدام قربانی، باج را پرداخت کرده است. بهعلاوه، هیچ آدرس ایمیلی هم در پیام باجافزار دیده نمیشود. عموما آدرس ایمیل در باجافزارها برای گفتوگو بین قربانی و مجرم استفاده میشود تا اطلاعات رمزگشایی اطلاعات و همچنین پرداخت، تبادل شود. درنهایت میتوان ادعا کرد که گروه توسعهدهندهی ThiefQuest، برنامههای باجافزاری آنچنان جدی نداشتهاند. واردل هم در تحلیلهای خود متوجه شد که با وجود حضور قابلیتهای رمزگذاری اطلاعاتی در ThiefQuest، ظاهرا مجرمان تصمیمی جدی برای استفادهی گسترده از آن بخش نداشتهاند.
محققان امنیتی اعتقاد دارند مجرمان سایبری با برنامههای جاسوسی نصب جاسوسافزار، عمدتا بهدنبال مخفی کردن فعالیت و حضور خود در کامپیوتر قربانی هستند. درنتیجه ترکیب بدافزار جدید با سیستم باجافزار، آنچنان منطقی بهنظر نمیرسد. بههرحال وقتی پیام باجافزار به قربانی نمایش داده میشود، عملکرد او در سیستم تغییر میکند و متوجه حضور یک عامل بیرونی میشود. در چنین وضعیتی کاربر قطعا فعالیتهای دیگر مانند خرید آنلاین یا استفاده از کارتهای اعتباری به هر دلیل دیگر را متوقف میکند. ازطرفی، باجافزارها عموما نیاز به حضور ادامهدار در کامپیوتر قربانی، حتی پس از بارگذاری مجدد را ندارند و تنها با یک بار رمزگذاری فایلها، کار خود را انجام میدهند. درنهایت وقتی یک نرمافزار مخرب، خود را بهصورت بدافزار نشان میدهد و حضوری ادامهدار هم دارد، جامعهی محققان سایبری آن را با دقت بررسی و تحلیل میکنند و فعالیتهای آتیاش هم مسدود میشود.
رید دربارهی تحلیل عملکرد ThiefQuest میگوید: «وقتی شما تصمیم دارید تا از کامپیوتر قربانی فایل و اطلاعات استخراج کنید، عموما عملکردی مخفیانه خواهید داشت و در پسزمینه، بهصورت کاملا بیصدا کار خود را انجام میدهید. این باجافزار سروصدای زیادی داشت و سیستم من هر ۳۰ ثانیه، پیام هشدار ارسال میکرد».
بدافزار جدید مک، قابلیتهای مبهمی برای مخفی نگه داشتن عملیات خود دارد. بهعنوان مثال اگر ابزارهای امنیتی همچون آنتیویروس نورتون روی سیستم کاربر نصب شده باشند، باجافزار عمل نمیکند. بهعلاوه در محیطهایی همچون محیطهای آزمایش امنیتی و سیستمهای مجازی نیز شاهد عملکرد آنچنان جدی بدافزار نیستیم. در تحلیل کدهای زیرساختی بدافزار نیز برخی از قابلیتها بهصورت مخفی هستند و برخی دیگر، بهراحتی شناسایی میشوند.
واردل اعتقاد دارد بدافزار جدید مک ابتدا با هدف اجرای ماژول جاسوسافزار اجرا میشود تا اطلاعات لازم را از سیستم قربانی استخراج کند. در مرحلهی آخر، باجافزار پر سروصدا اجرا میشود تا بهعنوان تلاش پایانی، از رمزگذاری اطلاعات و دریافت باج، درآمد اضافهای را برای گروه مجرم سایبری فراهم کند. در برخی از آزمایشها، سیستم باجافزار بهراحتی اجرا نشد و فایلها را رمزنگاری نکرد. بههرحال بهنظر میرسد با بدافزاری مملو از باگ روبهرو هستیم که هدف نهایی توسعهدهندههای آن نیز مشخص نیست.
باتوجهبه توزیع بدافزار ازطریق تورنت و اهداف درآمدزایی که برای توسعهدهندهها دارد، محققان پیشبینی میکنند که گروه هکری خرابکاری آن را ساختهاند و خبری از سازمانهای جاسوسی دولتی نیست. چنین بدافزارهایی قبلا در ویندوز به دفعات دیده شدهاند. یکی از خطرناکترین نمونههای NotPetya بود که با ظاهر باجافزار، فعالیتهای جاسوسی و استخراج اطلاعات مخربی را انجام داد. درنهایت عملکرد مجرمان سایبری ThiefQuest میتواند کسب درآمد از باجافزار یا استفاده از آن بهعنوان ابزاری برای پرت کردن حواس قربانی و جاسوسی اطلاعاتی باشد. بههرحال در بدافزارهای مرتبط با مک، همیشه این سؤال مطرح میشود که حرکت بعدی مجرمان چیست؟
پاسخ ها