کمیته رکن چهارم – بدافزار آپدیتایجنت آزادانه در سیستمعامل مک راهاندازی میشود و با ایجاد در پشتی نرمافزار مخرب نصب میکند.
بدافزار UpdateAgent مک به مدت ۱۴ ماه است که بین دستگاههای مختلف پخش میشود و روی سیستمهای آلوده شده بکدور یا در پشتی (Backdoor) نصب میکند.
تیم مدافع تهدید اطلاعاتی مایکروسافت میگوید: بدافزار معروف مک که با نام UpdateAgent شناخته میشود، بیشتر از یک سال است که به شکل عجیبی در حال گسترش است و با توجه به ویژگیهای پرزرقوبرقی که همواره توسعهدهندگانش به آن اضافه میکنند، هر روز خطرناکتر میشود. ویژگیهای جدید شامل نوع مهاجم پیلود (Payload) بدافزار نمایش تبلیغات (Adware) میشود که روی مکهای آلودهشده بکدور مستحکمی نصب میکند.
خانواده بدافزارهای UpdateAgent در ماههای پایانی سال ۲۰۲۰ میلادی (پاییز ۱۳۹۹) تقریباً بهعنوان سارق اطلاعات پایهای شروع به گردش کرد. این بدافزار، نام محصولات، شماره نسخه و سایر اطلاعت پایهای سیستمها را جمعآوری کرد. علاوه بر این، روش ماندگاری این بدافزار -یعنی توانایی راهاندازی خود با هر بار راهاندازی مک- نیز نسبتاً ابتدایی بود.
مایکروسافت در هفته گذشته گفت که بدافزار «عامل بهروزرسانی» در طول زمان بهطور فزایندهای پیشرفته شده است. بدین ترتیب، این بدافزار گذشته از دادههایی که به سرور هکر ارسال میکند، ضربان قلب اپلیکیشن را نیز برای هکر مخابره میکند تا به او نشان دهد همچنان فعال است و از کار نیفتاده است. از سویی دیگر، این بدافزار نوعی adware با نام Adload نیز نصب میکند.
محقق امنیتی مایکروسافت گزارش کرده است که:
بهمحض اینکه بدافزار adware نصب شود با استفاده نرمافزار تزریق تبلیغات و تکنیکهای رهگیری ارتباطات دستگاه میزبان و هدایت کردن ترافیک کاربر به سمت سرورهای اجرایی ادوِر، عملیات تزریق تبلیغات به صفحات وبسایتها و نتایج جستوجو را اجرا خواهد کرد. در واقع، به زبان تخصصی بدافزار Adload با نصب یک پروکسی وب برای سرقت نتایج موتور جستوجو و تزریق تبلیغات درون صفحات وب نوعی حمله مرد میانی (Man-in-The-Middle) را اجرا میکند که باعث میشود درآمد تبلیغات اصلی وبسایت متوقف شود و درعوض اپراتورهای بدافزار adware درآمد کسب کنند.
همچنین، ادلود (Adload) بهعنوان نوعی بدافزار تبلیغات با مقاومت بالا شناخته میشود. این بدافزار قابلیت ایجاد در پشتی برای دانلود و نصب دیگر بدافزارها و پیلودها را دارد و قادر است اطلاعاتی که از سیستم به سرور فرمان و کنترل (C2 Server) هکر ارسال میشود را جمعآوری کند. با در نظر گرفتن اینکه بدافزارهای ادلود و آپدیتایجنت هر دو توانایی نصب پیلودهای اضافی را دارند، به هکر امکان میدهند که با اهرم کردن هرکدام یا هردوی این ابزار تهدیدهای جدیتری برای سیستم میزبان بهوجود بیاورند.
بدافزار آپدیتایجنت قبل از نصب ادوِر، اعلان «Gatekeeper» را حذف میکند. این پرچم نشانی است که مکانیزم امنیتی سیستمعامل macOS روی فایلهای دانلود شده میگذارد. در واقع، گیتکیپر، وظیفه دارد به کاربر اعلام کند که نرمافزار جدیدی از اینترنت روی سیستم نصب شده است؛ همچنین، با تطابق نرمافزار جدید با مشخصات بدافزارهای شناختهشده، سلامت آن را تأیید میکند. با وجود این که سازوکار بدافزار مخرب جدید نیست و مشابه بدافزار مک مربوط به سال ۲۰۱۷ عمل میکند، ادغام آن با آپدیتایجنت حکایت از آن دارد که بدافزار کنونی بهطور مرتب در حال توسعه و پیشرفت است.
وظیفهی اصلی بدافزار آپدیتایجنت تا آنجا گسترش یافته که دادههای پروفایل سیستم و SPHardwaretype را گردآوری میکند. این دادهها علاوهبر اطلاعات حیاتی دیگر، شماره سریال مک را نیز شامل میشود. در نسخهی جدید بدافزار شاهد آن هستیم که بهجای فولدر LaunchAgent، فولدر LaunchDaemon را اصلاح میکنند و تغییر میدهند. درحالیکه برای اعمال تغییر باید آپدیتایجنت با دسترسی مدیر راهاندازی شود، تغییر به تروجان اجازه میدهد که کدهای همیشگی تزریق کنند تا از پایه راهاندازی شود.
مایکروسافت میگوید که آپدیتایجنت ظاهری همچون نرمافزارهای قانونی بهخود میگیرد. برای مثال، اپلیکیشنهای ویدئو یا عوامل پشتیبانی که از طریق پاپآپ یا افزونهی هکشده یا وبسایتهای آلوده پخش میشوند. مایکروسافت بهطور کامل در اینباره اطلاعات جزئی منتشر نکرده؛ اما ظاهراً کاربران بهنحوی قانع میشوند که برنامهی آپدیتایجنت را نصب کنند و در طی فرایند نصب، سیستم امنیتی گیتکیپر همانطور که طراحی شده است، عمل خواهد کرد.
در هر صورت، تکامل بدافزار آپدیتایجنت در قیاس با سایر بدافزارهای مکاواس مقیاس مینیاتوری دارد؛ اما هر روزه بدافزارها پیشرفتهتر خواهند شد. از این رو، کاربران مک باید بدانند که چگونه فریبهای مهندسی اجتماعی را شناسایی کنند، مثل پاپآپهای ناگهانی که در مرورگر باز میشوند و اخطار آلودگی نیز توسط مرورگر بیان میشود.
منبع : زومیت