توزیع بدافزار استخراج ارز مجازی مک به‌وسیله‌ی وب‌گاه مک‌آپدیت

کمیته رکن چهارم – به گزارش Malwarebytes، نسخه‌های مخرب اصلاح شده‌ی برنامه‌های محبوب از طریق وب‌گاه مک‌آپدیت توزیع شده و بدافزار استخراج ارز مجازی را بر روی رایانه‌های مک نصب می‌کند.

این مسئله روز جمعه، یک روز پس از آن‌که نسخه‌های مخرب اصلاح شده‌ی برنامه‌های فایرفاکس، OnyX و Deeper از طریق وب‌گاه مک‌آپدیت توزیع شدند، مشاهده شد. مک‌آپدیت به‌سرعت این مسئله را تایید و اعلام کرد که این موضوع خطای آن‌ها بوده و برنامه‌های قانونی به خطر نیفتاده‌اند.

آن‌چه که به این وضعیت منجر شد، بسیار ساده است. مک‌آپدیت به‌جای پیوند دادن به وب‌گاه‌های رسمی بارگیری برنامه‌ها، به دامنه‌های جعلی که مشابه دامنه‌های قانونی بود، پیوند داده بود.

بنابراین، به‌جای وب‌گاه titanium-software.fr، وب‌گاه titaniumsoftware.org (ثبت شده در تاریخ ۲۳ ژانویه) برای نشانی‌های وب بارگیری OnyX و Deeper (هر دو محصولات ساخته شده توسط نرم‌افزار تیتانیوم هستند) ثبت شده بود. پیوند بارگیری فایرفاکس، با استفاده از دامنه‌ی download-installer.cdn-mozilla.net، به‌جای mozilla.net، حتی فریبنده‌تر بود.

با این حال، Malwarebytes می‌گوید که برای این ۳ برنامه، کاربران پرونده‌های تصویر دیسک (dmg.) را که به‌نظر بسیار قانع‌کننده بودند، بارگیری کردند. این پرونده‌ها مشابه برنامه‌های قانونی، از کاربر خواسته بودند که پرونده را به پوشه‌ی برنامه‌ها بکشند.

این برنامه‌های جعلی توسط Platypus ایجاد شده‌اند که ابزار توسعه‌دهنده‌ی مورد استفاده برای ساخت نرم‌افزار سامانه‌ی عامل مک از اسکریپت‌هایی مانند shell یا Python می‌باشد.

این برنامه‌های جعلی پس از نصب، یک بارداده از public.adobecc.com (یک وب‌گاه قانونی متعلق به ادوبی) بارگیری و نصب کرده و پس از آن تلاش می‌کند یک رونوشت از برنامه‌ی قانونی را به‌عنوان تله باز کند. با این وجود، به‌دلیل اشتباهات مختلف عامل ایجادکننده‌ی برنامه‌های جعلی، این عملیات همیشه موفق نیست.

پژوهش‌گران امنیتی دریافتند که برنامه‌ی مخرب OnyX بر روی نسخه‌ی سامانه‌ی عامل X ۱۰.۷ و بالاتر مک اجرا می‌شود، اما برنامه‌ی تله به نسخه‌ی سامانه‌ی عامل ۱۰.۱۳ و بالاتر مک نیاز دارد، بدین معنی که این بدافزار تنها بر روی سامانه‌هایی با نسخه‌های قدیمی پلتفرم اجرا می‌شود.

در مورد برنامه‌ی جعلی Deeper نیز همه چیز مشابه است، اما دلیل آن خنده‌دار است. مهاجم، برنامه‌ی OnyX را به‌جای برنامه‌ی Deeper به‌عنوان تله به‌کار می‌گیرد، که به‌وضوح نشان می‌دهد این تله برای پوشش دادن رفتار مخرب اجرا نمی‌شود.

به‌محض اجرای برنامه‌ی جعلی، یک اسکریپت از آن بررسی می‌کند که آیا در حال اجرا می‌باشد یا خیر، و اگر در حال اجرا نبود، بدافزار را بارگیری کرده و آن را در پوشه‌ی کتابخانه که به‌طور پیش‌فرض پنهان است، باز می‌کند. پرونده‌ی راه‌انداز بدافزار به نام MacOSupdate.plist نصب می‌شود که برای اجرای یک اسکریپت دیگر به‌طور مرتب طراحی شده است.

این عامل راه‌انداز، پرونده‌ی جدید MacOS.plist را بارگیری و آن را نصب می‌کند، اما ابتدا پرونده‌ی قبلی MacOS.plist را ظاهرا به‌منظور به‌روزرسانی آن حذف می‌کند. مشاهده شد که پرونده‌ی بارگیری‌شده‌ی MacOS.plist، یک فرایند مخرب sysmdworker را بارگذاری کرده و از استدلال‌ها، از جمله یک آدرس رایانامه عبور می‌کند.

Malwarebytes توضیح می‌دهد: «فرایند sysmdworker با استفاده از یک ابزار خط فرمان به نام minergate-cli، استخراج ارز مجازی مونرو را انجام داده و با عبور از آدرس رایانامه‌ی فوق به‌عنوان ورود به سامانه، به‌طور مداوم به وب‌گاه minergate.com متصل خواهد شد.»

به‌منظور مصون ماندن از این بدافزار و تهدیدات مشابه، به کاربران توصیه می‌شود که همیشه برنامه‌ها را تنها از وب‌گاه‌های قانونی، مانند وب‌گاه توسعه‌دهنده یا فروشگاه برنامه‌های مک بارگیری کنند.

همان‌طور که Malwarebytes اشاره می‌کند، این اولین بار نیست که وب‌گاه مک‌آپدیت برای اهداف مخرب مورد بهره‌برداری قرار گرفته است. چند سال پیش نیز نفوذ مشابهی صورت گرفته و به توزیع بدافزار OSX.Eleanor منجر شده بود.

منبع : news.asis.io