محققان امنیتی زنگ خطر یک کمپین جدید حمله سایبری را با استفاده از نسخه های کرک شده محصولات نرم افزاری محبوب برای توزیع یک درب پشتی بین کاربران macOS به صدا درآورده اند.
چه چیزی این کمپین را از بسیاری دیگر که تاکتیک مشابهی را به کار گرفتهاند متفاوت میکند - مانند آنچه در اوایل این ماه گزارش شد شامل وب سایت های چینی است - مقیاس بزرگ و تکنیک جدید و چند مرحله ای تحویل محموله آن است. همچنین استفاده عامل تهدید از برنامه های کرک شده macOS با عناوینی که احتمالاً برای کاربران تجاری مورد توجه است، قابل توجه است، بنابراین سازمان هایی که محدودیتی برای دانلود کاربران ندارند نیز می توانند در معرض خطر باشند.
کسپرسکی اولین کسی بود که کشف و گزارش کنید در درب پشتی Activator macOS در ژانویه 2024. تجزیه و تحلیل بعدی از فعالیت مخرب توسط SentinelOne نشان داد که بدافزار "در حال اجرا از طریق تورنت های برنامه های macOSبه گفته فروشنده امنیتی.
فیل استوکس، محقق تهدید در SentinelOne میگوید: «دادههای ما بر اساس تعداد و فراوانی نمونههای منحصربهفردی است که در سراسر VirusTotal ظاهر شدهاند. «در ماه ژانویه از زمانی که این بدافزار برای اولین بار کشف شد، نمونههای منحصربهفردی از این بدافزار را نسبت به سایر بدافزارهای macOS که در همان بازه زمانی [ردیابی] کردهایم، دیدهایم.»
استوکس میگوید تعداد نمونههای درب پشتی Activator که SentinelOne مشاهده کرده است، حتی از حجم بارکنندههای ابزارهای تبلیغاتی مزاحم و باندلافزار macOS (به فکر Adload و Pirrit) است که توسط شبکههای وابسته بزرگ پشتیبانی میشوند. "در حالی که ما هیچ داده ای برای ارتباط با دستگاه های آلوده نداریم، میزان آپلودهای منحصر به فرد در VT و انواع برنامه های مختلف که به عنوان فریب استفاده می شوند، نشان می دهد که عفونت های درون وحشی قابل توجه خواهد بود."
ساخت بات نت macOS؟
استوکس میگوید یک توضیح بالقوه برای مقیاس این فعالیت این است که عامل تهدید تلاش میکند یک باتنت macOS را جمعآوری کند، اما این در حال حاضر فقط یک فرضیه باقی مانده است.
عامل تهدیدی که در پشت کمپین Activator قرار دارد، از 70 برنامه منحصر به فرد macOS کرک شده - یا برنامههای "رایگان" با حذف حفاظتهای کپی - برای توزیع بدافزار استفاده میکند. بسیاری از برنامههای کرک شده دارای عناوین متمرکز بر کسبوکار هستند که میتواند برای افراد در تنظیمات محل کار جالب باشد. یک نمونه: Snag It، Nisus Writer Express و Rhino-8، ابزاری برای مدلسازی سطح برای مهندسی، معماری، طراحی خودرو و موارد استفاده دیگر.
استوکس می گوید: «ابزارهای زیادی برای اهداف کاری مفید هستند که به عنوان فریب توسط macOS.Bkdr.Activator استفاده می شوند. «کارفرمایانی که محدودیتی برای دانلود کردن نرمافزاری که کاربران میتوانند نداشته باشند، اگر کاربر برنامهای را دانلود کند که به درب پشتی آلوده است، در معرض خطر قرار میگیرند.»
عوامل تهدید که به دنبال توزیع بدافزار از طریق برنامه های کرک شده هستند، معمولاً کدهای مخرب و درهای پشتی را در خود برنامه جاسازی می کنند. در مورد Activator، مهاجم از استراتژی متفاوتی برای ارائه درب پشتی استفاده کرده است.
روش های مختلف تحویل
استوکس می گوید برخلاف بسیاری از تهدیدات بدافزار macOS، Activator در واقع خود نرم افزار کرک شده را آلوده نمی کند. در عوض، کاربران یک نسخه غیرقابل استفاده از برنامه کرک شده ای را که می خواهند دانلود کنند و یک برنامه «فعال کننده» حاوی دو فایل اجرایی مخرب دریافت می کنند. به کاربران دستور داده می شود که هر دو برنامه را در پوشه Applications کپی کرده و برنامه Activator را اجرا کنند.
سپس برنامه از کاربر میخواهد تا رمز عبور مدیریت را دریافت کند و سپس از آن برای غیرفعال کردن تنظیمات Gatekeeper macOS استفاده میکند تا برنامههای خارج از فروشگاه رسمی اپل اکنون بتوانند روی دستگاه اجرا شوند. سپس بدافزار مجموعه ای از اقدامات مخرب را آغاز می کند که در نهایت تنظیمات اعلان های سیستم را خاموش می کند و یک Launch Agent را بر روی دستگاه نصب می کند. در پشتی Activator خود یک نصب کننده و دانلود کننده مرحله اول برای سایر بدافزارها است.
استوکس میگوید که فرآیند تحویل چند مرحلهای «نرمافزار کرک شده را در اختیار کاربر قرار میدهد، اما در طول فرآیند نصب، قربانی را در پشتی قرار میدهد». این بدان معناست که حتی اگر کاربر بعداً تصمیم به حذف نرمافزار کرک شده گرفت، عفونت را حذف نخواهد کرد.
سرگئی پوزان، تحلیلگر بدافزار در Kaspersky، به جنبه دیگری از کمپین Activator اشاره می کند که قابل توجه است. پوزان میگوید: «این کمپین از یک درب پشتی پایتون استفاده میکند که اصلاً روی دیسک ظاهر نمیشود و مستقیماً از اسکریپت لودر راهاندازی میشود. استفاده از اسکریپتهای پایتون بدون هیچ «کامپایلر» مانند pyinstaller کمی پیچیدهتر است، زیرا مهاجمان را ملزم میکند که مفسر پایتون را در برخی از مراحل حمله حمل کنند یا اطمینان حاصل کنند که قربانی نسخه پایتون سازگار را نصب کرده است.
پوزان همچنین معتقد است که یکی از اهداف بالقوه عامل تهدید در پشت این کمپین، ساخت یک بات نت macOS است. اما از زمان گزارش Kaspersky در مورد کمپین Activator، این شرکت هیچ فعالیت اضافی مشاهده نکرده است.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cyberattacks-data-breaches/macos-malware-campaign-showcases-novel-delivery-technique
- : دارد
- :است
- :نه
- 2024
- 7
- 70
- a
- مطابق
- در میان
- اقدامات
- فعالیت
- بازیگران
- واقعا
- اضافی
- می افزاید:
- مدیر سایت
- وابسته
- عامل
- هشدار
- معرفی
- همچنین
- در میان
- an
- تحلیل
- روانکاو
- و
- دیگر
- هر
- نرم افزار
- فروشگاه نرم افزار
- ظاهر شدن
- به نظر می رسد
- اپل
- برنامه های کاربردی
- برنامه های
- معماری
- هستند
- AS
- ظاهر
- At
- حمله
- مهاجم
- تلاش
- خودرو
- درپشتی
- پشتيباني
- مستقر
- BE
- پشت سر
- بودن
- معتقد است که
- بیت
- هر دو
- بات نت
- ساختن
- بنا
- کسب و کار
- اما
- by
- کمپین بین المللی حقوق بشر
- CAN
- حمل
- مورد
- موارد
- چینی
- رمز
- شرکت
- سازگار
- سازش
- میتوانست
- ترک خورده
- حمله سایبری
- داده ها
- مصمم
- ارائه
- تحویل
- طرح
- دستگاه
- دستگاه ها
- مختلف
- مستقیما
- کشف
- توزیع کردن
- do
- ندارد
- دان
- دانلود
- دانلود
- در طی
- پیش از آن
- جاسازی کردن
- به کار گرفته شده
- کارفرمایان
- مهندسی
- اطمینان حاصل شود
- حتی
- توضیح
- صریح
- نام خانوادگی
- برای
- رایگان
- فرکانس
- از جانب
- دروازه بان
- دریافت کنید
- هدف
- آیا
- he
- HTTPS
- if
- in
- افراد
- عفونت
- شروع می کند
- نصب
- نصب و راه اندازی
- نصب شده
- در عوض
- علاقه
- IT
- ITS
- خود
- ژانویه
- JPG
- تنها
- کسپرسکی
- بزرگ
- بعد
- راه اندازی
- راه اندازی
- احتمالا
- بارکننده
- MacOS در
- باعث می شود
- مخرب
- نرم افزارهای مخرب
- بسیاری
- به معنی
- روش
- مدل سازی
- لحظه
- ماه
- بیش
- شبکه
- جدید
- نه
- قابل توجه
- اطلاعیه ها
- رمان
- اکنون
- عدد
- متعدد
- of
- خاموش
- رسمی
- on
- ONE
- or
- سازمان های
- دیگر
- دیگران
- ما
- خارج از
- روی
- کلمه عبور
- دوره
- PHIL
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- محبوب
- پتانسیل
- روند
- محصولات
- پرسیدن
- فراهم می کند
- اهداف
- پــایتــون
- نرخ
- بقایای
- برداشتن
- حذف شده
- گزارش
- گزارش
- نیاز
- پژوهشگر
- محققان
- محدود کردن
- خطر
- دویدن
- s
- همان
- می گوید:
- مقیاس
- خط
- اسکریپت
- تیم امنیت لاتاری
- به دنبال
- مشاهده گردید
- سلسله
- محیط
- تنظیمات
- نشان داد
- قابل توجه
- مشابه
- پس از
- گیر
- So
- نرم افزار
- برخی از
- تاحدی
- صدای
- حمایت مالی
- صحنه
- opbevare
- استراتژی
- متعاقب
- چنین
- حاکی از
- پشتیبانی
- سطح
- سیستم های
- تکنیک
- نسبت به
- که
- La
- سپس
- آنجا.
- آنها
- اشیاء
- فکر می کنم
- این
- تهدید
- تهدید
- از طریق
- زمان
- عناوین
- به
- ابزار
- ابزار
- دور زدن
- دو
- به طور معمول
- در نهایت
- منحصر به فرد
- استفاده کنید
- استفاده
- مفید
- کاربر
- کاربران
- استفاده
- با استفاده از
- تنوع
- Ve
- فروشنده
- نسخه
- از طريق
- قربانی
- حجم
- می خواهم
- بود
- we
- خوب
- چی
- که
- در حین
- اراده
- با
- در داخل
- بدون
- مهاجرت کاری
- در محل کار
- نویسنده
- زفیرنت