کاربران اپل، مراقب باشید! یک بدافزار غیرقابل تشخیص (FruitFly) کامپیوترهای Mac را مورد هدف قرار داده است.

FruitFly

حتی کامپیوترهای دارای سیستم‌عامل Mac نیز می‌توانند ویروسی شده و به‌طور مخفیانه از کاربرانشان جاسوسی کنند. بنابراین، اگر شما دارای یک کامپیوتر Mac هستید و فکر می‌کنید به همین علت شما در امان هستید، کاملاً در اشتباهید.

یک بدافزار غیرمعمول که می‌تواند از راه دور کنترل وب کم‌ها، صفحه‌نمایش، موشواره و کیبورد را در دست گیرد و همچنین دیگر نرم‌افزارهای مخرب را بر روی سیستم مورد هدف نصب کند، صدها کامپیوتر دارای سیستم‌عامل Mac را ۵ سال است که آلوده کرده و همین چند ماه قبل شناسایی شده است.

این بدافزار که FruitFly نام‌گذاری شده است[۱]، نوعی بدافزار تحت سیستم‌عامل Mac است که در اوایل امسال توسط Thomas Reed که محقق شرکت Malwarebytes است، شناسایی شده است و شرکت اپل به‌سرعت وصله‌‌های امنیتی موردنیاز را برای برطرف کردن این بدافزار خطرناک منتشر کرد.

امروز و پس از گذشت چند ماه، Patrick Wardle که سابقاً یک هکر در NSA بوده است و در حال حاضر رئیس امنیتی شرکت Synack است، حدود ۴۰۰ کامپیوتر را کشف کرده است که توسط نوع جدیدی از بدافزار FruitFly به نام FruitFly 2 و در سطح اینترنت آلوده شده‌اند.

Wardle معتقد است که تعداد کامپیوترهای Mac که توسط FruitFly 2 آلوده شده‌اند بیش از مقدار کشف شده است و محققان بر این باورند که این بدافزار مخرب به مدت ۱۰ سال است که فعال بوده است و تاریخ بعضی از کدهای کشف شده به سال ۱۹۹۸ برمی‌گردد.

Wardle در خلاصه صحبت‌هایش در Balck Hat این‌گونه بیان کرده است[۲]: “FruitFly که اولین بدافزار کشف شده در سال ۲۰۱۷ و تحت سیستم‌عامل Mac است، یک نمونه نسبتاً جذاب است. این بدافزار مؤسسات پژوهشی پزشکی را هدف قرار می‌دهد و تصور بر این است که برای سال‌ها این مؤسسات را تحت نظر داشته است.”

ازآنجاکه تاریخ اولین مورد تشخیص داده شده FruitFly نامشخص است، مشابه بسیاری از بدافزارها، Fruitfly احتمالاً می‌تواند کامپیوترهای Mac را از طریق وب‌سایت‌های آلوده که انتقال‌دهنده آلودگی هستند یا پست‌های الکترونیک phishing یا نرم‌افزارهای booby-trapped آلوده کند.

FruitFly نوعی بدافزار مراقبتی است که این قابلیت را دارد که shell command ها را اجرا کند، نشانگر موشواره را تکان داده و یا کلیک کند، از طریق webcam اقدام به عکس‌برداری کند، فرآیندهای در حال اجرا را متوقف کند، زمان بیداری سیستم را تغییر دهد، از صفحه‌نمایش عکس بگیرد و حتی به مهاجم موردنظر هشدار دهد که قربانی در حال حاضر در حال کار کردن با سیستم هست یا خیر.

Reed در یک گزارش که در ماه ژانویه ۲۰۱۷ منتشر شده است این‌گونه نوشته است: “تنها دلیلی که من فکر می‌کنم که چرا این بدافزار زودتر از این کشف نشده است این است که این بدافزار فقط اهداف خیلی خاص را مورد هدف قرار می‌داده و به همین علت کمتر در معرض دید قرار داشته است. گرچه شواهدی در این رابطه وجود ندارد که این بدافزار را به یک گروه خاص متصل کند، با توجه به این واقعیت که این بدافزار به‌طور خاص در مؤسسات تحقیقاتی پزشکی دیده شده است، ظاهراً به نظر می‌رسد که می‌تواند با اهداف جاسوسی مورد استفاده قرارگرفته باشد.”

Wardle توانست قربانیان FruitFly را این‌گونه شناسایی کند که یک سرور command and control پشتیبان و مشابه سروری که توسط مهاجم مورد استفاده قرار گرفته بود، ثبت کند و سپس متوجه شد نزدیک به ۴۰۰ کاربر Mac که به بدافزار FruitFly آلوده شده بودند شروع به وصل شدن به این سرور کردند.

ازآنجا، این محقق همچنین توانست آدرس آی‌پی قربانیان آلوده شده به FruitFly را ببیند که نشان می‌دهد ۹۰ درصد قربانیان در ایالات‌متحده قرار دارند.

Wardle به Forbes گفته است[۳] که حتی قادر بوده نام کاربران قربانی در Mac را نیز ببیند و به همین خاطر این کار برای او راحت شده است که دقیقاً بگوید چه کسی آلوده شده است.

اما به‌جای آنکه کنترل سیستم‌های قربانی شده را در دست گیرد و یا اینکه از قربانیان جاسوسی کند، Wardle با مراجع قانونی تماس گرفته بود و تمام موارد کشف شده را در اختیار آنان قرار داده و در حال حاضر مراجع قانونی در حال تحقیق بر روی این موضوع هستند.

Wardle بر این باور است که هدف اصلی FruitFly نظارت بوده است، اما همچنان مشخص نشده است که کسانی که پشت این بدافزار قرار دارند دیگر دولت‌ها بوده‌اند و یا گروه‌های هکری.

Wardle می‌گوید: “این به نظر نوع رفتار جنایی سایبری نیست؛ هیچ تبلیغی وجود ندارد، هیچ keyloggers و یا باج‌گیر افزاری وجود ندارد. ویژگی‌های این بدافزار به این صورت است که از تعامل پشتیبانی می‌کند و این قابلیت را دارد که هنگامی که قربانی موردنظر شروع به کار می‌کند به مهاجم خبر داده و همچنین کلیک‌های موشواره و کلیدهای فشرده شده توسط کیبورد را شبیه‌سازی می‌کند.”

ازآنجاکه کد Fruitfly شامل دستورات shell لینوکسی است، این بدافزار بر روی سیستم‌عامل‌های لینوکس نیز به‌خوبی کار می‌کند. بنابراین، این موضوع باعث تعجب نخواهد بود که نوع لینوکسی بدافزار Fruitfly به‌زودی فعال شود.