روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ بسیاری از کاربران اپل فکر می کنند سیستم‌عامل مک‌اواس آنقدر امن است که هیچ تهدید سایبری توان نفوذ به آن را ندارد؛ بنابراین نیازی نیست از دستگاه‌های خود محافظت کنند. اما ماجرا اصلاً چنین نیست: گرچه شاید برای macOS بدافزارهای کمتری وجود داشته باشد اما تعداد بدافزارها همچنان خیلی بیشتر از آن چیزی است که دارندگان دستگاه‌های اپل فکر می‌کنند. در این مقاله در مورد تهدیدهای فعلی برای کاربران مک‌اواس و اینکه چطور باید به طور مؤثری از دستگاه مک محافت کرد گفت و گو خواهیم داشت. برای اینکه با سند نشان دهیم ویروس‌ها در مک‌اواس هم هستند به سه تحقیق اخیر روی چندین خانواده بدافزار نگاه خواهیم داشت که طی چند هفته اخیر منتشر شدند. با ما همراه باشید.

 BlueNoroff به کاربران مک‌اواسی حمله کرده و رمزارز را سرقت می‌کنند

اواخر اکتبر 2023 محققین ما تروجان جدید مک‌اواسی پیدا کردند که پنداشته می‌شد به BlueNoroff «بازوی تبلیغاتی» گروه APT لازاروس ربط دارد (گروهی که مقرش در کره شمالی است). این زیرگروه تخصصش در حملات مالی است و مشخصاً تمرکز خود را روی دو چیز گذاشته است: ابتدا حملاتی به سیستم سوئیفت (شامل سرقت بدنام بانک مرکزی بنگلادش) و دوم سرقت رمزارزهایی از سازمان‌ها و افراد. این تروجان مک‌اواس کشف‌شده‌ی دانلودر، در آرشیوهای مخرب توزیع می‌شود. خود را جای داکیومنت پی دی‌اف می‌زند (تحت عنوان دارایی‌های کریپتو و ریسک‌هایی که برای پایداری مالی دارند). همچنین آیکونی دارد که که کارش تقلید پیش‌نمایش این داکیومنت است. وقتی کاربر روی تروجان کلیک می‌کند (با پوشش پی‌دی‌اف) اسکریپتی اجرا می‌شود که در واقع از اینترنت داکیومنت پی دی‌اف مربوطه را دانلود و بازش می‌کند اما البته که این همه واقعه نیست! کار اصلی تروجان، دانلود اطلاعاتی است در مورد سیستم آلوده، ارسال آن به C2 و صبر برای فرمانی برای اجرای یکی از دو اقدام ممکن زیر:

خودتخریبی یا سیو فایل و اجرای کد مخرب ارسالی در جواب به سرور.

تروجان پروکسی در نرم‌افزارهای پایرت‌شده برای مک‌اواس

اواخر نوامبر 2023 محققین ما نمونه بدافزار دیگری کشف کردند که کاربران مکی را تهدید می‌کرد- یک تروجان پروکسی توزیع‌شده در راستای نرم‌افزارهای پایرت‌شده برای macOS. مشخصاً این تروجان به فایل‌های PKG یا برنامه‌های کرک‌شده‌ی ادیت ویدیو، ابزارهای ریکاوری داده، ابزارهای شبکه‌ای، مبدل‌های فایل و چندین نرم‌افزار دیگر اضافه شده بود. فهرست کامل نصب‌گرهای آلوده کشف‌شده توسط متخصصین ما را می‌توانید در سایت سکیور لیستِ ما بیابید. همانطور که پیشتر گفتیم، این بدافزار به دسته تروجان‌های پروکسی تعلق دارد؛ بدافزاری که سرور پروکسی را روی کامپیوتر آلوده راه‌اندازی کرده و برای ریدایرکت کردن ترافیک اینترنت میزبان می‌سازد. در ادامه مجرمان سایبری می‌توانند از چنین دستگاه‌های آلوده‌ای برای ساخت شبکه پولی سرورهای پروکسی استفاده کرده و از آن‌هایی که دنبال چنین سرویس‌هایی هستند درآمدزایی کنند.

بطور جایگزین، دارندگان تروجان ممکن است مستقیم از کامپیوترهای آلوده برای انجام فعالیت‌های مجرمانه خود به نام قربانی استفاده کنند- خواه این فعالیت مجرمانه حمله به وبسایت، شرکت یا سایر کاربران باشد و یا خرید اسلحه، مواد مخدر یا سایر کالاهای غیرقانونی دیگر.

سارق اتمی در آپدیت‌های فیک مرورگر سافاری

همچنین در نوامبر 2023، کمپین جدید مخربی کشف شد که تروجان دیگری برای مک‌اواس توزیع می‌کرد. نام آن "اتمی" بود و به خانواده سارق‌ها متعلق بود. این نوع بدافزار به دنبال اطلاعات استخراجی مهم است و آن‌ها را به سازندگان خود می‌فرستد. این استخراج‌ها می‌توانند اطلاعات ارزشمند یافت‌شده روی کامپیوتر قربانی باشند؛ خصوصاً داده‌های ذخیره‌شده در مرورگرها. لاگین‌ها و پسورد، جزئیات کارت اعتباری، کلیدهای کریپتو والت و سایر اطلاعات حساس برای سارقین ارزش بسیار دارند. تروجان اتمی اولین بار مارس 2023 کشف شد. آنچه جدید است این است که مهاجمین تازه شروع به استفاده از آپدیت‌های فیک برای سافاری و کروم برای توزیع تروجان اتمی کردند. این آپدیت‌ها از صفحات مخربی که به طور بسیار متقاعدکننده‌ای تقلید وبسایت‌های اورجینال اپل و گوگل را می‌کنند دانلود می‌شوند.

تروجان اتمی به محض اجرا روی سیستم، تلاش دارد اطلاعات زیر را از کامپیوتر قربانی بدزدد:

•         کوکی‌ها
•         لاگین‌ها، پسوردها و جزئیات کارت اعتباری ذخیره‌شده در مرورگر
•         پسوردهایی از سیستم ذخیره پسورد مک‌اواس (KEY CHAIN)
•         فایل‌های ذخیره‌شده روی هارد درایو
•         داده‌های ذخیره‌شده روی بیش از 50 افزونه محبوب رمزارز

آسیب‌پذیری‌های روز صفر در macOS

متأسفانه حتی اگر هیچ فایل مشکوکی را هم دانلود نکنید، از باز کردن پیوست از منابع ناشناس پرهیز کرده و روی هم رفته از کلیک روی هر چیز مشکوک خودداری کنید باز هم امنیت‌تان تضمین نمی‌شود. مهم است به یاد داشته باشید که هر نرم‌افزاری همیشه آسیب‌پذیری‌هایی دارد که مهاجمین می‌توانند برای آلوده کردن دستگاه آن را اکسپلویت کرده و این هیچ نیازی به فعالیت از سمت کاربر ندارد. و سیستم مک‌اواس نیز از این قاعده مستثنی نیست. اخیراً دو آسیب‌پذیری‌ روز صفر در مرورگر سافاری کشف شده است و به نقل از آنچه اپل اعلام کرده، مجرمان سایبری وقتی آن‌ها در حال کشف بودند داشتند اکسپلویتشان می‌کردند. مهاجمین با فریب دادن قربانی و کشاندن او به وب‌پیج مخرب می‌توانند بدون هیچ فعالیت دیگری از سمت کاربر دستگاه او را آلوده کنند و به موجب این روی دستگاه کنترل پیدا کرده و داده‌ها را از آن سرقت کنند. این آسیب‌پذیری‌ها به همه دستگاه‌هایی مربوط می‌شود که از مرورگر سافاری استفاده می‌کنند و همین دارندگان مک و نیز آی‌اواس و آیپد اواس را به خطر می‌اندازد.

سایر تهدیدها و نحوه محافظت از مک

آنچه مهم است به خاطر بسپارید این است که تهدیدهای سایبری متعددی وجود دارند که به سیستم عامل وابسته نیستند، اما می‌توانند کمتر از بدافزار خطرناک باشند. به ویژه به تهدیدهای زیر توجه کنید:

•         فیشینگ و وب‌سایت‌های جعلی. ایمیل‌ها و وب‌سایت‌های فیشینگ هم برای کاربران ویندوز و هم برای دارندگان مک کار می‌کنند. افسوس که همه ایمیل‌ها و وب‌سایت‌های جعلی به راحتی قابل تشخیص نیستند، بنابراین حتی کاربران باتجربه اغلب با خطر سرقت اطلاعات ورود به سیستم خود مواجه می‌شوند.
•         تهدیدهای وب، از جمله اسکیمرهای وب. بدافزار می‌تواند نه تنها دستگاه کاربر بلکه سروری را که با آن ارتباط برقرار می کند نیز آلوده کند. برای مثال، مهاجمان اغلب وب‌سایت‌هایی را که محافظت ضعیفی دارند، به‌ویژه فروشگاه‌های آنلاین، هک و روی آن‌ها اسکیمرهای وب نصب می‌کنند. این ماژول‌های نرم افزاری کوچک برای رهگیری و سرقت داده‌های کارت بانکی وارد شده توسط بازدیدکنندگان طراحی شده‌اند.
•         افزونه‌های مخرب مرورگر این ماژول‌های نرم‌افزاری کوچک مستقیماً در مرورگر نصب می‌شوند و در آن کار می‌کنند، بنابراین به سیستم‌عامل مورد استفاده وابسته نیستند. علیرغم اینکه افزونه‌های به ظاهر بی ضرر هستند، می‌توانند کارهای زیادی انجام دهند: خواندن محتوای تمام صفحات بازدید شده، رهگیری اطلاعات وارد شده توسط کاربر (گذرواژه، شماره کارت، کلید کیف پول‌های رمزنگاری شده)، و حتی جایگزینی محتوای صفحه نمایش داده شده.
•         رهگیری ترافیک و حملات مرد میانی. اکثر وب‌سایت‌های مدرن از اتصالات رمزگذاری شده  (HTTPS) استفاده می‌کنند، اما هنوز هم گاهی اوقات می‌توانید با سایت‌های HTTP روبرو شوید که در آن تبادل داده‌ها رهگیری می‌شود. مجرمان سایبری از چنین رهگیری برای راه‌اندازی حملات MITM استفاده نمودهو به جای صفحات قانونی، صفحات جعلی یا آلوده را به کاربران ارائه می‌دهند.

برای محافظت از دستگاه خود، اکانت‌های آنلاین سرویس و مهمتر از آن، اطلاعات ارزشمندی که می‌توانند در خود بگنجانند مهم است هم برای کامپیوترهای مکی و هم آیفون/آیپدها از محافظت جامع استفاده کنید. چنین محافظتی باید توان مقابله با کل طیف تهدیدها را داشته باشند- برای مثال راهکارهایی چون Kaspersky Premium که میزان تأثیرش بواسطه جوایزی که از لابراتوارهای تست مستقل گرفته تأیید شده است.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.