کمیته رکن چهارم – چند روز پس از آنکه شاهد بودیم که یک بستر باجافزار بهعنوان سرویس با نام MacRansom برای سامانههای مک شناسایی شد، محققان امنیتی اولین زیرساختِ بدافزار بهعنوان سرویس را در انجمنهای زیرزمینی شناسایی کردند که سرویسهای خود را بهطور رایگان در اختیار مشتریان قرار میدهد.
به گزارش کمیته رکن چهارم،این زیرساخت جدید MacSpy نام داشته و نویسندهی آن مدعی شده که پیچیدهترین جاسوسافزار برای سامانههای مک را ارائه کرده است. در حال حاضر توسعهدهندگان این بدافزار آن را بهطور رایگان و پیشرفته در اختیار کاربران قرار میدهند و به نظر نمیرسد بعداً هم قیمتی برای آن تعیین شود.
نسخهی رایگان این زیرساخت دارای قابلیت ارتباط در شبکههای گمنامی Tor است و میتواند عملیاتی مانند گرفتن اسکرینشات، ثبتِ کلیدهای فشردهشده، ضبط صوت، بازیابی محتوای حافظهی موقت و دادهی مرورگرها و دستیابی به تصاویر iCloud را در طول فرآیند همگامسازی انجام دهد. همچنین در تبلیغات این ابزار گفته شده بهدلیل حافظهی محدود و مصرف پردازنده، این ابزار کاملاً غیرردیابی است.
در نسخهی پولی این ابزار قابلیتهای دیگری مانند تنظیم نحوهی اسکرینشات، بازهی ضبط صوت از راه دور وجود دارد و کاربر میتواند هر اطلاعاتی را از روی سامانههای مک بازیابی کرده و در عرض چند ثانیه، پروندهها را رمزنگاری کند. این نسخه همچنین میتواند پروندههایی که روزانه بازیابی کرده را آرشیو کند، به حسابهای شبکههای اجتماعی و رایانامهها دسترسی داشته و از قابلیتهای بهروزسانی و امضای کد نیز برخوردار است.
کاربران برای آلوده کردن یک ماشین میتوانند پوشهی فشردهنشدهی MacSpy را در داخل یک فلش یواسبی قرار داده و در هر زمان که بخواهند، یک پروندهی اجراییِ ۶۴ بیتی را به نام updated بهطور دستی اجرا کنند. این پروندهی اجرایی ظاهراً هیچگونه امضایی ندارد و توسط هیچیک از ابزارهای ضدبدافزاری نیز شناسایی نشده است. علاوه بر پروندهی updated، در این پروندهی آرشیوی، یک پروندهی اجرایی ۶۴ بیتی با نام webkitproxy، یک کتابخانهی اشتراکی پویا با نام libevent-۲.۰.۵.dylib و یک پرونده مربوط به پیکربندی نیز وجود دارد. محققان امنیتی متوجه شدند برخی از این پروندهها با استفاده از Tor امضاء شدهاند.
این بدافزار دارای قابلیتهای فرار از تحلیل نیز هست و بررسیهایی بر روی اجرا شدن در محیطهای دیباگر و ماشین مجازی انجام میدهد. همچنین بدافزار پیش از اجرا، بررسی میکند که حتماً بر روی سامانهی مک اجرا شود. برای ماندگاری نیز رکوردی را در Library/LaunchAgents/com.apple.webkit.plist/~ ثبت میکند تا مطمئن شود با هر شروع به کار سامانه، بدافزار نیز اجرا خواهد شد.
پس از اجرا شدن، بدافزار خود و پروندههای مربوط به خود را در /Library/.DS_Stores/~ رونویسی کرده و نسخهی اصلی را حذف میکند. در ادامه نیز از دستور curl برای ارتباط با کارگزار دستور و کنترل خود استفاده میکند تا اطلاعات جمعآوریشده را از طریق درخواستهای POST و پروکسی Tor برای کارگزار ارسال کند. پروندههای موقتی که برای جمعآوری دادهها مورد استفاده قرار گرفته بود نیز حذف میشوند. محققان امنیتی اشاره کردند ظهور زیرساخت MacSpy نشان میدهند که تمرکز نویسندگان بدافزارها بیش از پیش بر روی سامانههای مک معطوف شده است در حالیکه این تصور وجود داشت که سامانههای مک در برابر بدافزار امنتر هستند.
منبع:security week
