باجافزار جدید مک، خطرناکتر از آن چیزی است که بهنظر میرسد
زوميت/ باجافزاري موسوم به ThiefQuest يا EvilQuest کاربران سيستمعامل مک را تهديد ميکند که ظاهرا از تواناييهايي براي استخراج رمز عبور کارتهاي اعتباري نيز برخوردار است. باجافزارها از سالها پيش بهعنوان يکي از خطرناکترين تهديدهاي سايبري شناخته ميشدند. تا چهار سال پيش که اولين باجافزار خطرناک مک شناسايي شد، تصور عمومي بر آن بود که سيستمعامل اپل، آسيبپذيري کمتري در برابر اين دسته از بدافزارها دارد. چند روز پيش، يک محقق امنيتي بهنام Dinesh Devadoss، از کشف باجافزار جديدي در مک خبر داد که ظاهرا خطر زيادي براي کاربران دارد. او که بهعنوان محقق در شرکت امنيتي K7 Lab فعاليت ميکند، جزئيات عملکرد باجافزار را منتشر کرد که پيامدهايي جدي در رسانههاي امنيت سايبري جهان داشت. محققان، ابتدا نام EvilQuest را براي باجافزار جديد مک انتخاب کردند. پس از آن که مشخص شد سري بازيهاي ويديويي به همين نام و از شرکت Steam منتشر شده است، نام باجافزار به ThiefQuest تغيير کرد. اطلاعات جديد نشان ميدهد بدافزار مذکور، خطرهايي بيش از تصورات اوليه براي کاربران دارد. بدافزار جديد مک، توانايي استخراج اطلاعات مهم مالي را هم دارد بدافزار جديد macOS، علاوه بر عملکرد باجافزاري، از مجموعهاي از تواناييهاي خرابکارانهي ديگر هم بهره ميبرد. مجرمان با استفاده از آن توانايي انجام فعاليتهاي جاسوسي، استخراج فايلها از کامپيوتر آلوده، جستوجوي سيستم براي رمزهاي عبور و اطلاعات کيفپول رمزارز، اجراي Keylogger و استخراج اطلاعات رمز، کارتهاي اعتباري يا ديگر اطلاعات شخصي و مالي کاربر را هم پيدا ميکنند. ساختار جاسوسافزار، يک در پشتي را نيز در سيستم قرباني ايجاد ميکند و درنتيجه پس از بارگذاري مجدد سيستم نيز به فعاليت ادامه ميدهد. مجرمان ميتوانند از آن براي اجراي حملههاي ثانويه هم استفاده کنند. باتوجهبه اينکه باجافزارها در سيستمعامل مک، آنچنان مرسوم و گسترده نيستند، چنين سبکي از نفوذ و سوءاستفادهي سايبري، قابلتوجه و خطرناک بهنظر ميرسد. پاتريک واردل، محقق ارشد اکمنيت سايبري در شرکت Jamf دربارهي باجافزار ThiefQuest ميگويد: با بررسي کد زيرساختي بدافزار، ميتوان بخش منطقي باجافزار را از منطق در پشتي جدا کرد و هرکدام، بهتنهايي بدافزار مستقل و خطرناکي محسوب ميشود. ترکيب آنها، قطعا خطرهاي بيشتري را بههمراه خواهد داشت. من تصور ميکنم يک مجرم سايبري اين بدافزار را ابتدا براي نفوذ و در دست گرفتن کنترل کامل کامپيوتر مک طراحي کرده است. سپس قابليتهاي باجافزاري اضافه شدهاند تا مجرمان درآمد بيشتري کسب کنند. با وجود خطرهاي بسياري که براي باجافزار ThiefQuest بيان ميشود، خطر آن براي کاربران عادي که مراقبت مناسبي در فعاليتهاي آنلاين دارند، آنچنان زياد نيست. درواقع اگر کاربر مراقب دانلود کردن نرمافزارهاي دزدي يا تقلبي يا موارد مشابه باشد، خطر آنچناني او را تهديد نميکند. توماس ريد، محقق ارشد پلتفرمهاي موبايل و مک شرکت امنيتي Malwarebytes متوجه شد که بدافزار مخرب، ازطريق سرويسهاي تورنت توزيع ميشود. او ميگويد بدافزار تحت نام نرمافزارهاي معتبر و پرطرفداري مانند سرويس امنيتي Little Snitch توزيع ميشود. بهعلاوه، در برخي موارد ThiefQuest تحت عنوان نرمافزار DJ موسوم به Mixed In Key و پلتفرم موسيقي Ableton هم ديده شده است. دوادوس ميگويد خود بدافزار بهگونهاي طراحي شده است تا شبيه به يک برنامهي Google Software Update بهنظر برسد. درنهايت بهنظر نميرسد باجافزار مذکور در ابعاد قابلتوجهي توزيع شده باشد. ظاهرا هيچکس هم تاکنون به آدرس بيتکوين ارائهشده توسط مجرمان سايبري، باج واريز نکرده است. کاربران قرباني باجافزار جديد، احتمالا نصبکنندهي آن را از تورنت دانلود ميکنند. در مراحل بعدي، اپل هم هشدارهايي جدي در زمان نصب نرمافزار نمايش ميدهد. درنتيجه ميتوان بهترين راه براي جلوگيري از آلوده شدن به باجافزار را همان رويکردهاي امنيتي شخصي و کاربري دانست که مهمتر از همه، شامل دانلود و نصب نرمافزار از منابع معتبر ميشود. توسعهدهندههايي که مجوز (Sign) رسمي از اپل دارند و خود اپ استور اپل، منابع معتبري براي نصب نرمافزار در مک هستند. نکتهي قابلتوجه اينکه اپل هنوز اظهار نظري پيرامون باجافزار جديد ارائه نکرده است. ترکيب قابليتهاي باجافزاري و جاسوسافزاري در ThiefQuest بسيار عجيب بهنظر ميرسد همانطور که گفته شد، ThiefQuest قابليتهاي بسيار زيادي دارد و باجافزار را با جاسوسافزار ترکيب ميکند. ازطرفي هنوز هدف و برنامهي نهايي توسعهدهندهي آن مشخص نيست. دليل اصلي را ميتوان در ناقص بودن بخش باجافزار مشاهده کرد. باجافزار تنها يک آدرس بيتکوين را به قرباني نمايش ميدهد تا باج موردنظر را به آن واريز کند. باتوجهبه طبيعيت ناشناس شبکهي بيتکوين، هکرها متوجه نميشوند که کدام قرباني، باج را پرداخت کرده است. بهعلاوه، هيچ آدرس ايميلي هم در پيام باجافزار ديده نميشود. عموما آدرس ايميل در باجافزارها براي گفتوگو بين قرباني و مجرم استفاده ميشود تا اطلاعات رمزگشايي اطلاعات و همچنين پرداخت، تبادل شود. درنهايت ميتوان ادعا کرد که گروه توسعهدهندهي ThiefQuest، برنامههاي باجافزاري آنچنان جدي نداشتهاند. واردل هم در تحليلهاي خود متوجه شد که با وجود حضور قابليتهاي رمزگذاري اطلاعاتي در ThiefQuest، ظاهرا مجرمان تصميمي جدي براي استفادهي گسترده از آن بخش نداشتهاند. محققان امنيتي اعتقاد دارند مجرمان سايبري با برنامههاي جاسوسي نصب جاسوسافزار، عمدتا بهدنبال مخفي کردن فعاليت و حضور خود در کامپيوتر قرباني هستند. درنتيجه ترکيب بدافزار جديد با سيستم باجافزار، آنچنان منطقي بهنظر نميرسد. بههرحال وقتي پيام باجافزار به قرباني نمايش داده ميشود، عملکرد او در سيستم تغيير ميکند و متوجه حضور يک عامل بيروني ميشود. در چنين وضعيتي کاربر قطعا فعاليتهاي ديگر مانند خريد آنلاين يا استفاده از کارتهاي اعتباري به هر دليل ديگر را متوقف ميکند. ازطرفي، باجافزارها عموما نياز به حضور ادامهدار در کامپيوتر قرباني، حتي پس از بارگذاري مجدد را ندارند و تنها با يک بار رمزگذاري فايلها، کار خود را انجام ميدهند. درنهايت وقتي يک نرمافزار مخرب، خود را بهصورت بدافزار نشان ميدهد و حضوري ادامهدار هم دارد، جامعهي محققان سايبري آن را با دقت بررسي و تحليل ميکنند و فعاليتهاي آتياش هم مسدود ميشود. ريد دربارهي تحليل عملکرد ThiefQuest ميگويد: «وقتي شما تصميم داريد تا از کامپيوتر قرباني فايل و اطلاعات استخراج کنيد، عموما عملکردي مخفيانه خواهيد داشت و در پسزمينه، بهصورت کاملا بيصدا کار خود را انجام ميدهيد. اين باجافزار سروصداي زيادي داشت و سيستم من هر ۳۰ ثانيه، پيام هشدار ارسال ميکرد». بدافزار جديد مک، قابليتهاي مبهمي براي مخفي نگه داشتن عمليات خود دارد. بهعنوان مثال اگر ابزارهاي امنيتي همچون آنتيويروس نورتون روي سيستم کاربر نصب شده باشند، باجافزار عمل نميکند. بهعلاوه در محيطهايي همچون محيطهاي آزمايش امنيتي و سيستمهاي مجازي نيز شاهد عملکرد آنچنان جدي بدافزار نيستيم. در تحليل کدهاي زيرساختي بدافزار نيز برخي از قابليتها بهصورت مخفي هستند و برخي ديگر، بهراحتي شناسايي ميشوند. واردل اعتقاد دارد بدافزار جديد مک ابتدا با هدف اجراي ماژول جاسوسافزار اجرا ميشود تا اطلاعات لازم را از سيستم قرباني استخراج کند. در مرحلهي آخر، باجافزار پر سروصدا اجرا ميشود تا بهعنوان تلاش پاياني، از رمزگذاري اطلاعات و دريافت باج، درآمد اضافهاي را براي گروه مجرم سايبري فراهم کند. در برخي از آزمايشها، سيستم باجافزار بهراحتي اجرا نشد و فايلها را رمزنگاري نکرد. بههرحال بهنظر ميرسد با بدافزاري مملو از باگ روبهرو هستيم که هدف نهايي توسعهدهندههاي آن نيز مشخص نيست. باتوجهبه توزيع بدافزار ازطريق تورنت و اهداف درآمدزايي که براي توسعهدهندهها دارد، محققان پيشبيني ميکنند که گروه هکري خرابکاري آن را ساختهاند و خبري از سازمانهاي جاسوسي دولتي نيست. چنين بدافزارهايي قبلا در ويندوز به دفعات ديده شدهاند. يکي از خطرناکترين نمونههاي NotPetya بود که با ظاهر باجافزار، فعاليتهاي جاسوسي و استخراج اطلاعات مخربي را انجام داد. درنهايت عملکرد مجرمان سايبري ThiefQuest ميتواند کسب درآمد از باجافزار يا استفاده از آن بهعنوان ابزاري براي پرت کردن حواس قرباني و جاسوسي اطلاعاتي باشد. بههرحال در بدافزارهاي مرتبط با مک، هميشه اين سؤال مطرح ميشود که حرکت بعدي مجرمان چيست؟