روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ بگذارید ابتدا با این سوال پرتکرار شروع کنیم: مگر سیستم‌عامل مک، ویروس می‌گیرد؟

بله – خیلی هم زیاد. در اینجا چند نمونه از بدافزار مک وجود دارد که قبلاً در بلاگ روزانه‌ی کسپرسکی و سیکورلیست پوشششان داده بودیم:
•  تروجان سرقت کیف پول رمزنگاری‌شده که به عنوان نسخه‌های غیرقانونی برنامه‌های محبوب macOS پنهان شده است.
• یکی دیگر از تروجان‌های سرقت رمزنگاری، این تروجان به عنوان یک سند PDF با عنوان "دارایی های رمزنگاری و خطرات آنها برای ثبات مالی" ظاهر می‌شود.
• تروجانی که از مک‌های آلوده برای ایجاد شبکه ای از سرورهای پروکسی غیرقانونی برای مسیریابی ترافیک مخرب استفاده می کرد.
• The Atomic stealer، به عنوان یک به روزرسانی جعلی سافاری توزیع شده است.
می‌شود این فهرست تهدیدات گذشته را همینطور ادامه داد اما اجازه دهید در عوض روی یکی از آخرین حملاتی که کاربران macOS را هدف قرار می‌دهد، یعنی بنشی سارق تمرکز کنیم.
بنشیِ سارق چه کار می‌‌کند؟
بنشی یک سارق داده تمام‌عیار است. نوعی بدافزار است که دستگاه آلوده (در این سناریو، مک را) سرچ کرده و در آن به دنبال داده‌های ارزشمند است و بعد که آن‌ها را پیدا کرد به مجرمان مربوطه ارسالشان می‌کند. بنشی در وهله اول تمرکزش بر سرقت داده‌هایی است که به رمزارز و بلاک‌چین مرتبط هستند.
در ادامه شرح داده‌ایم وقتی این بدافزار در سیستم جای می‌گیرد چه کارهایی می‌کند:
• ورود به سیستم و رمزهای عبور ذخیره شده در مرورگرهای مختلف: Google Chrome، Brave، Microsoft Edge، Vivaldi، Yandex Browser و Opera را سرقت می کند.
• اطلاعات ذخیره‌شده توسط افزونه های مرورگر را سرقت می کند. سارق بیش از 50 افزونه را هدف قرار می دهد - که بیشتر آنها مربوط به کیف پول های رمزنگاری هستند، از جمله کیف پول Coinbase، MetaMask، Trust Wallet، Guarda، Exodus و Nami.
• توکن های 2FA ذخیره شده در پسوند مرورگر Authenticator.cc را سرقت می کند.
• جستجو و استخراج داده‌ها از برنامه‌های کیف پول ارزهای دیجیتال، از جمله Exodus، Electrum، Coinomi، Guarda، Wasabi، Atomic و Ledger.
• اطلاعات سیستم را جمع آوری می کند و رمز ورود macOS را با نمایش یک پنجره ورود رمز عبور جعلی می‌دزدد.
• Banshee تمام این داده‌ها را به طور منظم در یک آرشیو ZIP جمع آوری، آن را با یک رمز ساده XOR رمزگذاری می کند و به سرور فرمان و کنترل مهاجمان می‌فرستد.
• توسعه دهندگان Banshee در آخرین نسخه‌های خود، قابلیت دور زدن آنتی‌ویروس داخلی macOS، XProtect را اضافه کرده‌اند. جالب اینجاست که برای فرار از تشخیص، بدافزار از همان الگوریتمی استفاده می‌کند که XProtect برای محافظت از خود آن را به کار می‌گیرد، بخش‌های کلیدی کد خود را رمزگذاری و آنها را در حین اجرا رمزگشایی می‌کند.
بنشی چطور پخش می‌شود؟
اپراتورهای بنشی ابتدا برای آلوده کردن قربانیان خود از گیت‌هاب استفاده کردند. به عنوان دام، آن‌ها نسخه‌های کرک‌شده نرم‌افزارهای گران را مانند Autodesk AutoCAD، Adobe Acrobat Pro، Adobe Premiere Pro، Capture One Pro و Blackmagic Design DaVinci Resolve آپلود کردند. مهاجمین اغلب هم کاربران مک‌اواس و هم ویندوز را همزمان تارگت کردند: بنشی اغلب یار و همدست سارق ویندوزی به نام Lumma است. کمپین دیگرِ بنشی که بعد از نشت کد منبع سارق مذکور کشف شد شامل سایت فیشینگ می‌شد که به کاربران مک‌اواس پیشنهاد می‌داد تلگرام لوکال را دانلود کنند- ظاهراً برای محافظت در برابر فیشینگ و بدافزار طراحی شده است. البته فایل دانلود شده آلوده بود. جالب اینجاست که کاربران سایر سیستم عامل‌ها حتی لینک مخرب را نمی‌بینند.
گذشته و آینده‌ی بنشی
حال برسیم به تاریخچه‌ی بنشی که واقعاً جالب است. این بدافزار ابتدا جولای 2024 ظاهر شد. توسعه‌دهندگانش آن را به عنوان عضویت MaaS با قیمت ماهانه 3000 دلار روانه بازار کردند. شاید تا اینجای کار این تجارت چنگی به دل نزده اما اواسط آگوست رقم را تا 50 درصد کاهش دادند و عضویت ماهانه هم شد 1500 دلار! در نقطه‌ای از زمان، سازندگان یا استراتژی خود را عوض کردند یا تصمیم گرفتند برنامه وابسته به پورتفولیوی خود اضافه کنند. آن‌ها شروع کردند استخدام شرکا برای کمپین‌های مشترک. سازندگان بنشی در این کمپین‌ها این بدافزار را ارائه دادند و شرکا حمله واقعی را پیش بردند. ایده توسعه‌دهنده‌ها عائدیِ 50 50 بود. اما یک جای کار لابد می‌لنگیده است: اواخر نوامبر کد منبع بنشی نشت شد و در تالار هکرها منتشر گشت- از این رو زندگی تجاری این بدافزار به پایان رسید. توسعه‌دهندگان اعلام کردند دارند این کسب و کار را کنار می‌گذارند اما نه تا وقتی تلاش نکرده بودند کل پروژه را به قیمت 1 بیت‌کوین بفروشند. بنابراین، چند ماه است که این سارق حرفه‌ای برای macOS اساساً به صورت کاملاً رایگان در دسترس هر کسی است. بدتر از آن، با در دسترس بودن کد منبع، مجرمان سایبری اکنون می‌توانند نسخه‌های اصلاح‌شده خود را از Banshee ایجاد کنند. و با قضاوت بر اساس شواهد، این در حال حاضر اتفاق می افتد. به عنوان مثال، اگر سیستم عامل به زبان روسی اجرا می شد، نسخه های اصلی Banshee از کار افتادند. با این حال، یکی از آخرین نسخه‌ها بررسی زبان را حذف کرده است، به این معنی که کاربران روسی زبان هم اکنون در معرض خطر هستند.
راهکارهای امنیتی
• نرم افزار دزدی را روی مک خود نصب نکنید. خطر برخورد با یک تروجان با انجام این کار بسیار زیاد است و عواقب آن می تواند شدید باشد.
• این امر به ویژه در صورتی صادق است که از همان مک برای تراکنش‌های ارزهای دیجیتال استفاده می‌کنید. در این حالت، خسارت مالی احتمالی می‌تواند به میزان قابل توجهی از پس‌اندازی که در خرید نرم‌افزار اصلی انجام می‌دهید بیشتر باشد.
• به طور کلی، از نصب برنامه‌های غیر ضروری خودداری کنید و به یاد داشته باشید که برنامه‌هایی را که دیگر استفاده نمی کنید حذف کنید.
• در مورد افزونه های مرورگر محتاط باشید. ممکن است در نگاه اول بی ضرر به نظر برسند، اما بسیاری از افزونه‌ها به محتویات همه صفحات وب دسترسی کامل دارند و آنها را به اندازه برنامه های کامل خطرناک می کند.
• و البته، حتما یک آنتی ویروس قابل اعتماد روی مک خود نصب کنید. همانطور که دیدیم، بدافزار برای macOS یک تهدید بسیار واقعی است.
• در نهایت، یک کلمه در مورد محصولات امنیتی کسپرسکی: آنها می توانند بسیاری از گونه‌های Banshee را با حکم Trojan-PSW.OSX.Banshee شناسایی و مسدود کنند. برخی از نسخه‌های جدید شبیه دزد AMOS هستند، بنابراین می توان آنها را به عنوان Trojan-PSW.OSX.Amos.gen نیز شناسایی کرد.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.