بدافزار جاسوسی که مدت‌هاست مک را آلوده کرده‌ است

 به گزارش سیناپرس به نقل از کلیک،سیستم عامل مک شما امن نیست حداقل نه در حدی که شما فکرش را می‌کنید. در یک اقدام بزرگ و تحقیقاتی، مشخص شد که یکی از بد‌افزار‌های جاسوسی و مخرب که بر روی سیستم عامل اپل متمرکز بوده نزدیک به یک دهه است که از اپل و سیستم عاملش سو استفاده کرده است. این در حالی است که تماشای محیط کاربری قربانیان از طریق وب‌کم به صورت نامحسوس توسط یک مهاجم ناشناخته به اسم Fruitfly انجام می‌شود. این بدافزار اولین بار در ماه ژانویه توسط Malwarebytes گزارش داده شد. با این حال پاتریک وردل پژوهشگر ارشد امنیت Synack در تاریخ ۲۱ جولای در معرض حمله واقعی Fruitfly قرار گرفت. یک هکر بنا به دلایل نامعلوم این بدافزار را برای جاسوسی از سیستم‌های کاربران طراحی کرده است. وردل در مصاحبه‌ای که با سایت Mashable داشت توضیح داد که در سال جاری یکی از دوستانش نرم‌افزار مخربی را به او ارسال کرده بود که به نظر بسیار مشکوک بود. پس از نصب و اجرا این برنامه مخرب سیستم وردل مورد حمله قرار گرفت و آلوده شد. پس از این جریان، تحقیقات به برخی مکان‌های غیرمنتظره سوق پیدا کرد. وردل متوجه شد که این بد‌افزار رایانه‌های آلوده را به منظور دستیابی به یک دستور و کنترل سرور و دستور‌العملی به نام وظیفه (Tasking) هندل می‌کند. وردل به همین ترتیب متوجه شد که کامپیو‌تر‌ها پس از آلوده شدن به دنبال دامنه‌های پشتیبان برای جهت خود هستند بنابراین فقط یک یا دو دامنه برای ثبت نام در دسترس بود.

بنابراین او یکی از دامنه‌ها را ثبت کرد سپس سرور را ایجاد کرد تا بتواند با نرم‌افزار مخرب ارتباط داشته باشد. چیزی که او از این جریان متوجه شد بسیار وحشتناک است. بدا‌فزار مخرب Fruitfly، آی پی آدرس‌های کامپیوتر‌های آلوده را که برای تعیین موقعیت و لوکیشن کامپیوتر و همچنین تعیین نام سیستم به کار گرفته می‌شود به وردل داد. در بیشتر سیستم‌های مک، نام سیستم همان نام مالک کامپیوتر می‌شود. بنابراین برای شروع، واردل تصمیم گرفت نام و مکان بسیاری از کامپیوتر‌های قربانیان را بررسی کند. اما این همه آن چیزی نبود که وردل به دنبال آن بود. این بدافزار به او توانایی کنترل دوربین‌های وب‌کم و میکروفون ها را نیز داد بنابراین وردل می‌توانست از راه دور وب‌کم و میکروفون را تغییر بدهد و کنترل آن‌ها را در دست بگیرد. در کنار این کنترل و تغییرات وردل می‌توانست فایل‌ها را تغییر و یا حتی زمانی که کاربر حین انجام کار با سیستم مک خود است به او نوتیفیکشن بدهد. این گونه نرم‌افزار‌ها معمولا در سازمان‌ها و شرکت‌های دولتی برای Observe (مشاهده) کردن استفاده می‌شود. وردل زمانی که برای NSA کار می‌کرد از این نوع نرم‌افزار‌ها برای مشاهده استفاده می‌کرد.

نکته جالب اینجاست که قربانیان حمله Fruitfly مردم معمولی هستند و هیچ سمت مهمی در سازمان و شرکت‌های دولتی ندارند. همچنین این بدافزار برای سود مالی طراحی نشده است و بیشتر شبیه بد‌افزار‌هایی است که دستگاه‌های روزمره را آلوده می‌کنند. با این وجود هدف این بدافزار متفاوت است. وردل در ادامه توضیحاتش به این نکته اشاره کرد که هکر و برنامه نویس Fruitfly صرفا برای جاسوسی از کاربران مک و نظارت بر عملکرد آن‌ها این بدافزار را طراحی و برنامه‌نویسی کرده است. تقریبا ۹۰ درصد کامپیوتر‌های مک آلوده در ایالات متحده قرار دارند. وردل حدود ۴۰۰ سیستم مک را شناسایی کرد که آلوده به بدافزار Fruitfly شده است. با این وجود این تعداد بسیار کم است. اما چرا تعداد کمی از سیستم‌های مک آلوده به بدافزار Fruitfly شده‌اند؟ به دو دلیل می‌توان اشاره کرد: اول اینکه حمله فراگیر Fruitfly می‌توانست رعب و وحشت را در میان مردم بوجود بیاورد دوم اینکه این استراتژی (میزان کم آلودگی سیستم‌های مک) از تشخیص و شناسایی بدافزار Fruitfly جلوگیری می‌کند. صحبت از تشخیص شد. چرا این همه مدت طولانی این بدافزار کشف نشده بود؟ با توجه به تجزیه و تحلیل‌های وردل، علت آن می‌تواند فراگیر نبودن حمله Fruitfly به کل سیستم‌های مک باشد. وردل می‌گوید نرم‌افزار امنیتی سیستم عامل مکینتاش خوب نیست، او پیش از این توضیح داد که مکینتاش بیشتر در شناسایی تهدیدات شناخته شده می‌تواند خوب عمل کند اما در شناسایی تهدیدات جدید بسیار ضعیف عمل کرده است. وردل به کاربران مک پیشنهاد می‌کند که از یک کاور برای پوشش وبکم سیستم مک خود استفاده کنند. او همچنین در ادامه صحبت‌هایش به هک شدن آسان سیستم عامل مک نسبت به نسخه‌های اخیر ویندوز اشاره کرد. این موضوع باعث شده تا جامعه اپل نگاه جدی‌تر و عمیق‌تر به سیستم‌های مک داشته باشند.

وردل با همکاری سازمان امنیتی اجرای قانون ایالات متحده آمریکا، عملکرد کل ویروس یا بدافزار Fruitfly را متوقف کرده است. این خبر خوبی است برای ۴۰۰ کاربری که سیستم‌ مک‌شان توسط بدافزار Fruitfly تحت کنترل بود. یافته‌ها نشان می‌دهد که نرم‌افزار مخرب Fruitfly می‌تواند مجددا از طریق برخی از برنامه‌های ناشناس و نامعتبر وارد سیستم مک شود و فعالیت خود را شروع کند بنابراین کاربران مک از این به بعد باید محتاطانه با نرم‌افزار‌های جانبی مک در ارتباط باشند.

No tags for this post.