محققان امنیتی یک قطعه از بدافزار بسیار نادر جاسوسی مبتنی بر MAC را کشف کردهاند که بر پایه یک شیوه برنامهنویسی منسوخ شده است اما اخیراً در بعضی از حملات در جهان واقعی مورد استفاده قرار گرفته است تا با استفاده از این حملات بتوانند از کامپیوترهای مراکز تحقیقاتی پزشکی جاسوسی کنند.
این بدافزار که Fruitfly نامیده شده است، چندین سال است که بر روی سیستمهای دارای سیستمعامل MAC ناشناخته باقیمانده بود و این در حالی است که این بدافزار از یک کد ساده و قدیمی استفاده میکند.
تیم تحقیقاتی Malwarebytes که متعلق به شرکتInfosec است، این بدافزار را کشف کرده است و آن را به عنوانOSX.Backdoor.Quimitchin,’ شناسایی کرده است بعد از اینکه یکی از مدیران IT این شرکت یک سری فعالیتهای غیرمعمول را در یک کامپیوتر دارای سیستمعامل MAC شناسایی کرده بود.
بر طبق گفته محققان، این بدافزار کشف شده که از آن به عنوان اولین بدافزار MAC سال ۲۰۱۷ یاد میشود، شامل کدهایی است که مربوط به قبل از منتشر شدن سیستمعامل OS X است و بنا به گزارشهای رسیده به مدت تقریباً دو سال در حال انجام نظارتهای دقیق بر روی شبکههای مورد هدف بوده است.
Fruitfly از یک اسکریپت پنهان pearl استفاده میکند تا با دو سرور فرمان و کنترل ارتباط برقرار کند و این توانایی را دارد تا عملیاتی نظیر در اختیار گرفتن وبکم و اسکرینشاتها را از سیستمهای دارای سیستمعامل Mac و لینوکس انجام دهد، uptime سیستم را در اختیار بگیرد و نشانگر ماوس را تکان دهد یا از طریق آن کلیک کند.
بر طبق یک مقاله منتشر شده[۱] که متعلق به Malwarebytes است، Fruitfly همچنین توانایی جمعآوری دادههای مربوط به دیگر دستگاههای متصل به شبکه مشابه با Mac آلوده شده را دارد و تلاش میکند تا به آنها نیز متصل شود.
این بدافزار همچنین از یک اسکریپت ثانویه و کلاس جاوا استفاده میکند تا آیکون خودش را در Dock مربوط به سیستمعامل Mac مخفی کند، بنابراین همچنان مشخص نیست که چگونه این بدافزار پخش شده و دستگاهها را آلوده میکند.
مورد جالب توجه در مورد این بدافزار این است که این بدافزار از کدهایی استفاده میکرده است که مربوط به قبل از انتشار سیستمعامل OS X اپل است. این کدها شامل SGGetChannelDeviceList ،SGSetChannelDevice ،SGSetChannelDeviceInput و SGStartRecord میشود.
محققان میگویند این بدافزار حتی یک کد “libjpeg” منبع باز را نیز به منظور باز کردن یا ساختن فایلهای تصویری با فرمت JPEG اجرا میکند که آخرین بهروزرسانی آن مربوط به سال ۱۹۹۸ میشود.
با تحقیق بیشتر در مورد این کد، محققان دریافتند که این بدافزار حتی به گونهای به روز شده بوده است که بر روی Mac OS X Yosemite نیز کار کند که نشان میدهد این بدافزار حداقل دو سال در حال فعالیت بوده است.
با این حال، این کد قدیمی و بهروزرسانی آن برای پشتیبانی از Mac OS X Yosemite نشاندهنده تاریخ دقیق تولید این بدافزار نیست.
Thomas Reed از تیم تحقیقاتی Malwarebytes در یک پست نوشته است که: “تنها دلیلی که من متوجه این بدافزار تا به امروز نشده بودم به این دلیل بوده است که این بدافزار تنها در حملات خاصی استفاده میشده است که احتمال افشای آن بسیار کم باشد. داستانهای زیادی در طول چند سال گذشته وجود داشته است که مهاجمان روسی و چینی تحقیقات علمی اروپاییها و آمریکایی را مورد هدف قرار داده و آنها را میدزدند. اگرچه در این زمان هیچ مدرکی مبتنی بر ارتباط دادن این بدافزار به یک گروه خاص ارائه نشده است، ولی واقعیت این است که این بدافزار در مراکز تحقیقاتی پزشکی به طور خاص مورد استفاده قرار گرفته شده است.”
کد Fruitfly حتی شامل دستورات shell لینوکس است که نشان میدهد این بدافزار بر روی سیستمعاملهای لینوکس هم بهخوبی اجرا میشود. بنابراین، جای تعجب نیست که نوع لینوکسی این بدافزار در حال حاضر مشغول به انجام عملیات در دیگر مراکز باشد.
Reed همچنین گفته است که با executable های ویندوزی مواجه شده است که به سرور C&C مشابه متصل بودند و توسط بدافزار Fruitfly استفاده میشدند اما تاریخ آنها حداقل به سال ۲۰۱۳ برمیگردد.
با این حال، خبر خوب این است که اپل یک بهروزرسانی برای سیستمعامل MAC منتشر کرده است که این بدافزار را خطاب قرار داده است. همچنین اپل به طور خودکار این بهروزرسانی را در سیستمعامل خود قرار داده است و البته کاربران mac باید سیستم خود را جهت اینکه به این بدافزار آلوده شده باشد یا نه بررسی کنند که در واقع با نام OSX.Backdoor.Quimitchip قابل شناسایی است.
منابع
[۱] https://blog.malwarebytes.com/threat-analysis/2017/01/new-mac-backdoor-using-antiquated-code
[۲] http://thehackernews.com/2017/01/mac-os-malware.html
ثبت ديدگاه