کمپین بدافزار macOS تکنیک تحویل جدید را به نمایش گذاشت

کمپین بدافزار macOS تکنیک تحویل جدید را به نمایش گذاشت

تمبر زمان: 2 فوریه 2024، ساعت 3:03 بعد از ظهر
کمپین بدافزار macOS تکنیک تحویل جدید را به نمایش می‌گذارد، هوش داده پلاتو بلاک چین. جستجوی عمودی Ai.

محققان امنیتی زنگ خطر یک کمپین جدید حمله سایبری را با استفاده از نسخه های کرک شده محصولات نرم افزاری محبوب برای توزیع یک درب پشتی بین کاربران macOS به صدا درآورده اند.

چه چیزی این کمپین را از بسیاری دیگر که تاکتیک مشابهی را به کار گرفته‌اند متفاوت می‌کند - مانند آنچه در اوایل این ماه گزارش شد شامل وب سایت های چینی است - مقیاس بزرگ و تکنیک جدید و چند مرحله ای تحویل محموله آن است. همچنین استفاده عامل تهدید از برنامه های کرک شده macOS با عناوینی که احتمالاً برای کاربران تجاری مورد توجه است، قابل توجه است، بنابراین سازمان هایی که محدودیتی برای دانلود کاربران ندارند نیز می توانند در معرض خطر باشند.

کسپرسکی اولین کسی بود که کشف و گزارش کنید در درب پشتی Activator macOS در ژانویه 2024. تجزیه و تحلیل بعدی از فعالیت مخرب توسط SentinelOne نشان داد که بدافزار "در حال اجرا از طریق تورنت های برنامه های macOSبه گفته فروشنده امنیتی.

فیل استوکس، محقق تهدید در SentinelOne می‌گوید: «داده‌های ما بر اساس تعداد و فراوانی نمونه‌های منحصربه‌فردی است که در سراسر VirusTotal ظاهر شده‌اند. «در ماه ژانویه از زمانی که این بدافزار برای اولین بار کشف شد، نمونه‌های منحصربه‌فردی از این بدافزار را نسبت به سایر بدافزارهای macOS که در همان بازه زمانی [ردیابی] کرده‌ایم، دیده‌ایم.»

استوکس می‌گوید تعداد نمونه‌های درب پشتی Activator که SentinelOne مشاهده کرده است، حتی از حجم بارکننده‌های ابزارهای تبلیغاتی مزاحم و باندل‌افزار macOS (به فکر Adload و Pirrit) است که توسط شبکه‌های وابسته بزرگ پشتیبانی می‌شوند. "در حالی که ما هیچ داده ای برای ارتباط با دستگاه های آلوده نداریم، میزان آپلودهای منحصر به فرد در VT و انواع برنامه های مختلف که به عنوان فریب استفاده می شوند، نشان می دهد که عفونت های درون وحشی قابل توجه خواهد بود."

ساخت بات نت macOS؟

استوکس می‌گوید یک توضیح بالقوه برای مقیاس این فعالیت این است که عامل تهدید تلاش می‌کند یک بات‌نت macOS را جمع‌آوری کند، اما این در حال حاضر فقط یک فرضیه باقی مانده است.

عامل تهدیدی که در پشت کمپین Activator قرار دارد، از 70 برنامه منحصر به فرد macOS کرک شده - یا برنامه‌های "رایگان" با حذف حفاظت‌های کپی - برای توزیع بدافزار استفاده می‌کند. بسیاری از برنامه‌های کرک شده دارای عناوین متمرکز بر کسب‌وکار هستند که می‌تواند برای افراد در تنظیمات محل کار جالب باشد. یک نمونه: Snag It، Nisus Writer Express و Rhino-8، ابزاری برای مدل‌سازی سطح برای مهندسی، معماری، طراحی خودرو و موارد استفاده دیگر.

استوکس می گوید: «ابزارهای زیادی برای اهداف کاری مفید هستند که به عنوان فریب توسط macOS.Bkdr.Activator استفاده می شوند. «کارفرمایانی که محدودیتی برای دانلود کردن نرم‌افزاری که کاربران می‌توانند نداشته باشند، اگر کاربر برنامه‌ای را دانلود کند که به درب پشتی آلوده است، در معرض خطر قرار می‌گیرند.»

عوامل تهدید که به دنبال توزیع بدافزار از طریق برنامه های کرک شده هستند، معمولاً کدهای مخرب و درهای پشتی را در خود برنامه جاسازی می کنند. در مورد Activator، مهاجم از استراتژی متفاوتی برای ارائه درب پشتی استفاده کرده است.  

روش های مختلف تحویل

استوکس می گوید برخلاف بسیاری از تهدیدات بدافزار macOS، Activator در واقع خود نرم افزار کرک شده را آلوده نمی کند. در عوض، کاربران یک نسخه غیرقابل استفاده از برنامه کرک شده ای را که می خواهند دانلود کنند و یک برنامه «فعال کننده» حاوی دو فایل اجرایی مخرب دریافت می کنند. به کاربران دستور داده می شود که هر دو برنامه را در پوشه Applications کپی کرده و برنامه Activator را اجرا کنند.

سپس برنامه از کاربر می‌خواهد تا رمز عبور مدیریت را دریافت کند و سپس از آن برای غیرفعال کردن تنظیمات Gatekeeper macOS استفاده می‌کند تا برنامه‌های خارج از فروشگاه رسمی اپل اکنون بتوانند روی دستگاه اجرا شوند. سپس بدافزار مجموعه ای از اقدامات مخرب را آغاز می کند که در نهایت تنظیمات اعلان های سیستم را خاموش می کند و یک Launch Agent را بر روی دستگاه نصب می کند. در پشتی Activator خود یک نصب کننده و دانلود کننده مرحله اول برای سایر بدافزارها است.

استوکس می‌گوید که فرآیند تحویل چند مرحله‌ای «نرم‌افزار کرک شده را در اختیار کاربر قرار می‌دهد، اما در طول فرآیند نصب، قربانی را در پشتی قرار می‌دهد». این بدان معناست که حتی اگر کاربر بعداً تصمیم به حذف نرم‌افزار کرک شده گرفت، عفونت را حذف نخواهد کرد.

سرگئی پوزان، تحلیلگر بدافزار در Kaspersky، به جنبه دیگری از کمپین Activator اشاره می کند که قابل توجه است. پوزان می‌گوید: «این کمپین از یک درب پشتی پایتون استفاده می‌کند که اصلاً روی دیسک ظاهر نمی‌شود و مستقیماً از اسکریپت لودر راه‌اندازی می‌شود. استفاده از اسکریپت‌های پایتون بدون هیچ «کامپایلر» مانند pyinstaller کمی پیچیده‌تر است، زیرا مهاجمان را ملزم می‌کند که مفسر پایتون را در برخی از مراحل حمله حمل کنند یا اطمینان حاصل کنند که قربانی نسخه پایتون سازگار را نصب کرده است.

پوزان همچنین معتقد است که یکی از اهداف بالقوه عامل تهدید در پشت این کمپین، ساخت یک بات نت macOS است. اما از زمان گزارش Kaspersky در مورد کمپین Activator، این شرکت هیچ فعالیت اضافی مشاهده نکرده است.

تمبر زمان:

بیشتر از تاریک خواندن