چند روز پس از آنکه شاهد بودیم که یک بستر باج‌افزار به‌عنوان سرویس با نام MacRansom برای سامانه‌های مک شناسایی شد، محققان امنیتی اولین زیرساختِ بدافزار به‌عنوان سرویس را در انجمن‌های زیرزمینی شناسایی کردند که سرویس‌های خود را به‌طور رایگان در اختیار مشتریان قرار می‌دهد.

این زیرساخت جدید MacSpy نام داشته و نویسنده‌ی آن مدعی شده که پیچیده‌ترین جاسوس‌افزار برای سامانه‌های مک را ارائه کرده است. در حال حاضر توسعه‌دهندگان این بدافزار آن را به‌طور رایگان و پیشرفته در اختیار کاربران قرار می‌دهند و به نظر نمی‌رسد بعداً هم قیمتی برای آن تعیین شود.

نسخه‌ی رایگان این زیرساخت دارای قابلیت ارتباط در شبکه‌های گمنامی Tor است و می‌تواند عملیاتی مانند گرفتن اسکرین‌شات، ثبتِ کلیدهای فشرده‌شده، ضبط صوت، بازیابی محتوای حافظه‌ی موقت و داده‌ی مرورگرها و دستیابی به تصاویر iCloud را در طول فرآیند هم‌گام‌سازی انجام دهد. همچنین در تبلیغات این ابزار گفته شده به‌دلیل حافظه‌ی محدود و مصرف پردازنده، این ابزار کاملاً غیرردیابی است.

در نسخه‌ی پولی این ابزار قابلیت‌های دیگری مانند تنظیم نحوه‌ی اسکرین‌شات، بازه‌ی ضبط صوت از راه دور وجود دارد و کاربر می‌تواند هر اطلاعاتی را از روی سامانه‌های مک بازیابی کرده و در عرض چند ثانیه، پرونده‌ها را رمزنگاری کند. این نسخه همچنین می‌تواند پرونده‌هایی که روزانه بازیابی کرده را آرشیو کند، به حساب‌های شبکه‌های اجتماعی و رایانامه‌ها دسترسی داشته و از قابلیت‌های به‌روزسانی و امضای کد نیز برخوردار است.

کاربران برای آلوده کردن یک ماشین می‌توانند پوشه‌ی فشرده‌نشده‌ی MacSpy را در داخل یک فلش یو‌اس‌بی قرار داده و در هر زمان که بخواهند، یک پرونده‌ی اجراییِ ۶۴ بیتی را به نام updated به‌طور دستی اجرا کنند. این پرونده‌ی اجرایی ظاهراً هیچ‌گونه امضایی ندارد و توسط هیچ‌یک از ابزارهای ضدبدافزاری نیز شناسایی نشده است. علاوه بر پرونده‌ی updated، در این پرونده‌ی آرشیوی، یک پرونده‌ی اجرایی ۶۴ بیتی با نام webkitproxy، یک کتابخانه‌ی اشتراکی پویا با نام libevent-۲.۰.۵.dylib و یک پرونده مربوط به پیکربندی نیز وجود دارد. محققان امنیتی متوجه شدند برخی از این پرونده‌ها با استفاده از Tor امضاء شده‌اند.

این بدافزار دارای قابلیت‌های فرار از تحلیل نیز هست و بررسی‌هایی بر روی اجرا شدن در محیط‌های دیباگر و ماشین مجازی انجام می‌دهد. همچنین بدافزار پیش از اجرا، بررسی می‌کند که حتماً بر روی سامانه‌ی مک اجرا شود. برای ماندگاری نیز رکوردی را در Library/LaunchAgents/com.apple.webkit.plist/~ ثبت می‌کند تا مطمئن شود با هر شروع به کار سامانه، بدافزار نیز اجرا خواهد شد.

پس از اجرا شدن، بدافزار خود و پرونده‌های مربوط به خود را در /Library/.DS_Stores/~ رونویسی کرده و نسخه‌ی اصلی را حذف می‌کند. در ادامه نیز از دستور curl برای ارتباط با کارگزار دستور و کنترل خود استفاده می‌کند تا اطلاعات جمع‌آوری‌شده را از طریق درخواست‌های POST و پروکسی Tor برای کارگزار ارسال کند. پرونده‌های موقتی که برای جمع‌آوری داده‌ها مورد استفاده قرار گرفته بود نیز حذف می‌شوند. محققان امنیتی اشاره کردند ظهور زیرساخت MacSpy نشان می‌دهند که تمرکز نویسندگان بدافزارها بیش از پیش بر روی سامانه‌های مک معطوف شده‌ است در حالی‌که این تصور وجود داشت که سامانه‌های مک در برابر بدافزار امن‌تر هستند.

زیرساختِ بدافزار به‌عنوان سرویس با نام MacSpy، سامانه‌های مک را هدف قرار داده است

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *