روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ بسیاری از کاربران اپل فکر می کنند سیستمعامل مکاواس آنقدر امن است که هیچ تهدید سایبری توان نفوذ به آن را ندارد؛ بنابراین نیازی نیست از دستگاههای خود محافظت کنند. اما ماجرا اصلاً چنین نیست: گرچه شاید برای macOS بدافزارهای کمتری وجود داشته باشد اما تعداد بدافزارها همچنان خیلی بیشتر از آن چیزی است که دارندگان دستگاههای اپل فکر میکنند. در این مقاله در مورد تهدیدهای فعلی برای کاربران مکاواس و اینکه چطور باید به طور مؤثری از دستگاه مک محافت کرد گفت و گو خواهیم داشت. برای اینکه با سند نشان دهیم ویروسها در مکاواس هم هستند به سه تحقیق اخیر روی چندین خانواده بدافزار نگاه خواهیم داشت که طی چند هفته اخیر منتشر شدند. با ما همراه باشید.
BlueNoroff به کاربران مکاواسی حمله کرده و رمزارز را سرقت میکنند
اواخر اکتبر 2023 محققین ما تروجان جدید مکاواسی پیدا کردند که پنداشته میشد به BlueNoroff «بازوی تبلیغاتی» گروه APT لازاروس ربط دارد (گروهی که مقرش در کره شمالی است). این زیرگروه تخصصش در حملات مالی است و مشخصاً تمرکز خود را روی دو چیز گذاشته است: ابتدا حملاتی به سیستم سوئیفت (شامل سرقت بدنام بانک مرکزی بنگلادش) و دوم سرقت رمزارزهایی از سازمانها و افراد. این تروجان مکاواس کشفشدهی دانلودر، در آرشیوهای مخرب توزیع میشود. خود را جای داکیومنت پی دیاف میزند (تحت عنوان داراییهای کریپتو و ریسکهایی که برای پایداری مالی دارند). همچنین آیکونی دارد که که کارش تقلید پیشنمایش این داکیومنت است. وقتی کاربر روی تروجان کلیک میکند (با پوشش پیدیاف) اسکریپتی اجرا میشود که در واقع از اینترنت داکیومنت پی دیاف مربوطه را دانلود و بازش میکند اما البته که این همه واقعه نیست! کار اصلی تروجان، دانلود اطلاعاتی است در مورد سیستم آلوده، ارسال آن به C2 و صبر برای فرمانی برای اجرای یکی از دو اقدام ممکن زیر:
خودتخریبی یا سیو فایل و اجرای کد مخرب ارسالی در جواب به سرور.
تروجان پروکسی در نرمافزارهای پایرتشده برای مکاواس
اواخر نوامبر 2023 محققین ما نمونه بدافزار دیگری کشف کردند که کاربران مکی را تهدید میکرد- یک تروجان پروکسی توزیعشده در راستای نرمافزارهای پایرتشده برای macOS. مشخصاً این تروجان به فایلهای PKG یا برنامههای کرکشدهی ادیت ویدیو، ابزارهای ریکاوری داده، ابزارهای شبکهای، مبدلهای فایل و چندین نرمافزار دیگر اضافه شده بود. فهرست کامل نصبگرهای آلوده کشفشده توسط متخصصین ما را میتوانید در سایت سکیور لیستِ ما بیابید. همانطور که پیشتر گفتیم، این بدافزار به دسته تروجانهای پروکسی تعلق دارد؛ بدافزاری که سرور پروکسی را روی کامپیوتر آلوده راهاندازی کرده و برای ریدایرکت کردن ترافیک اینترنت میزبان میسازد. در ادامه مجرمان سایبری میتوانند از چنین دستگاههای آلودهای برای ساخت شبکه پولی سرورهای پروکسی استفاده کرده و از آنهایی که دنبال چنین سرویسهایی هستند درآمدزایی کنند.
بطور جایگزین، دارندگان تروجان ممکن است مستقیم از کامپیوترهای آلوده برای انجام فعالیتهای مجرمانه خود به نام قربانی استفاده کنند- خواه این فعالیت مجرمانه حمله به وبسایت، شرکت یا سایر کاربران باشد و یا خرید اسلحه، مواد مخدر یا سایر کالاهای غیرقانونی دیگر.
سارق اتمی در آپدیتهای فیک مرورگر سافاری
همچنین در نوامبر 2023، کمپین جدید مخربی کشف شد که تروجان دیگری برای مکاواس توزیع میکرد. نام آن "اتمی" بود و به خانواده سارقها متعلق بود. این نوع بدافزار به دنبال اطلاعات استخراجی مهم است و آنها را به سازندگان خود میفرستد. این استخراجها میتوانند اطلاعات ارزشمند یافتشده روی کامپیوتر قربانی باشند؛ خصوصاً دادههای ذخیرهشده در مرورگرها. لاگینها و پسورد، جزئیات کارت اعتباری، کلیدهای کریپتو والت و سایر اطلاعات حساس برای سارقین ارزش بسیار دارند. تروجان اتمی اولین بار مارس 2023 کشف شد. آنچه جدید است این است که مهاجمین تازه شروع به استفاده از آپدیتهای فیک برای سافاری و کروم برای توزیع تروجان اتمی کردند. این آپدیتها از صفحات مخربی که به طور بسیار متقاعدکنندهای تقلید وبسایتهای اورجینال اپل و گوگل را میکنند دانلود میشوند.
تروجان اتمی به محض اجرا روی سیستم، تلاش دارد اطلاعات زیر را از کامپیوتر قربانی بدزدد:
- کوکیها
- لاگینها، پسوردها و جزئیات کارت اعتباری ذخیرهشده در مرورگر
- پسوردهایی از سیستم ذخیره پسورد مکاواس (KEY CHAIN)
- فایلهای ذخیرهشده روی هارد درایو
- دادههای ذخیرهشده روی بیش از 50 افزونه محبوب رمزارز
آسیبپذیریهای روز صفر در macOS
متأسفانه حتی اگر هیچ فایل مشکوکی را هم دانلود نکنید، از باز کردن پیوست از منابع ناشناس پرهیز کرده و روی هم رفته از کلیک روی هر چیز مشکوک خودداری کنید باز هم امنیتتان تضمین نمیشود. مهم است به یاد داشته باشید که هر نرمافزاری همیشه آسیبپذیریهایی دارد که مهاجمین میتوانند برای آلوده کردن دستگاه آن را اکسپلویت کرده و این هیچ نیازی به فعالیت از سمت کاربر ندارد. و سیستم مکاواس نیز از این قاعده مستثنی نیست. اخیراً دو آسیبپذیری روز صفر در مرورگر سافاری کشف شده است و به نقل از آنچه اپل اعلام کرده، مجرمان سایبری وقتی آنها در حال کشف بودند داشتند اکسپلویتشان میکردند. مهاجمین با فریب دادن قربانی و کشاندن او به وبپیج مخرب میتوانند بدون هیچ فعالیت دیگری از سمت کاربر دستگاه او را آلوده کنند و به موجب این روی دستگاه کنترل پیدا کرده و دادهها را از آن سرقت کنند. این آسیبپذیریها به همه دستگاههایی مربوط میشود که از مرورگر سافاری استفاده میکنند و همین دارندگان مک و نیز آیاواس و آیپد اواس را به خطر میاندازد.
سایر تهدیدها و نحوه محافظت از مک
آنچه مهم است به خاطر بسپارید این است که تهدیدهای سایبری متعددی وجود دارند که به سیستم عامل وابسته نیستند، اما میتوانند کمتر از بدافزار خطرناک باشند. به ویژه به تهدیدهای زیر توجه کنید:
- فیشینگ و وبسایتهای جعلی. ایمیلها و وبسایتهای فیشینگ هم برای کاربران ویندوز و هم برای دارندگان مک کار میکنند. افسوس که همه ایمیلها و وبسایتهای جعلی به راحتی قابل تشخیص نیستند، بنابراین حتی کاربران باتجربه اغلب با خطر سرقت اطلاعات ورود به سیستم خود مواجه میشوند.
- تهدیدهای وب، از جمله اسکیمرهای وب. بدافزار میتواند نه تنها دستگاه کاربر بلکه سروری را که با آن ارتباط برقرار می کند نیز آلوده کند. برای مثال، مهاجمان اغلب وبسایتهایی را که محافظت ضعیفی دارند، بهویژه فروشگاههای آنلاین، هک و روی آنها اسکیمرهای وب نصب میکنند. این ماژولهای نرم افزاری کوچک برای رهگیری و سرقت دادههای کارت بانکی وارد شده توسط بازدیدکنندگان طراحی شدهاند.
- افزونههای مخرب مرورگر این ماژولهای نرمافزاری کوچک مستقیماً در مرورگر نصب میشوند و در آن کار میکنند، بنابراین به سیستمعامل مورد استفاده وابسته نیستند. علیرغم اینکه افزونههای به ظاهر بی ضرر هستند، میتوانند کارهای زیادی انجام دهند: خواندن محتوای تمام صفحات بازدید شده، رهگیری اطلاعات وارد شده توسط کاربر (گذرواژه، شماره کارت، کلید کیف پولهای رمزنگاری شده)، و حتی جایگزینی محتوای صفحه نمایش داده شده.
- رهگیری ترافیک و حملات مرد میانی. اکثر وبسایتهای مدرن از اتصالات رمزگذاری شده (HTTPS) استفاده میکنند، اما هنوز هم گاهی اوقات میتوانید با سایتهای HTTP روبرو شوید که در آن تبادل دادهها رهگیری میشود. مجرمان سایبری از چنین رهگیری برای راهاندازی حملات MITM استفاده نمودهو به جای صفحات قانونی، صفحات جعلی یا آلوده را به کاربران ارائه میدهند.
برای محافظت از دستگاه خود، اکانتهای آنلاین سرویس و مهمتر از آن، اطلاعات ارزشمندی که میتوانند در خود بگنجانند مهم است هم برای کامپیوترهای مکی و هم آیفون/آیپدها از محافظت جامع استفاده کنید. چنین محافظتی باید توان مقابله با کل طیف تهدیدها را داشته باشند- برای مثال راهکارهایی چون Kaspersky Premium که میزان تأثیرش بواسطه جوایزی که از لابراتوارهای تست مستقل گرفته تأیید شده است.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
