خرابکاری جدید گروه لازاروس؛ حمله به مکینتاش با بدافزار بدون فایل

شواهد حاکی از آن است که گروه هکری لازاروس این بار سیستم‌عامل macOS را هدف قرار داده است. بر اساس بررسی‌های انجام شده، بدافزاری که این گروه توسعه داده‌اند، یک بدافزار بدون فایل بوده که توسط بیشتر آنتی ویروس‌ها شناسایی نمی‌شوند. این روش بسیار پیشرفته بوده و اکثرا توسط گروه‌های هکری وابسته به دولت‌ها استفاده می‌شود.

این بدافزار چگونه کار می کند؟

بدافزار بدون فایل

آنتی ویروس‌ها همیشه نوشتن ها و خواندن‌های روی هارد دیسک را بررسی می‌کنند تا ویروس‌ها و بدافزارها را شناسایی کنند. اما این بدافزار بدون نوشتن داده‌ای روی دیسک، مستقیم از طریق حافظه دستگاه، اجرا می‌شود و هیچ ردی هم از خود روی دیسک باقی نمی‌گذارد. در نتیجه این گونه بدافزارها، به بهترین در نوع خود تبدیل می شوند زیرا اکثر آنتی ویروس‌ها نمی‌توانند آن‌ها را تشخیص دهند.

چرا لازاروس متهم اصلی است؟

بدافزار بدون فایل

این سیستم بدافزارها که معمولا تحت نام بدون فایل (Fileless) شناخته می‌شوند، بدون استفاده از هارد دیسک و فقط از طریق مموری یا همان حافظه، نوشتن و خواندن‌ها را انجام می‌دهند. اما این نحوه از توسعه بدافزارها، آن قدر پیچیده و سخت است که تنها هکرهای وابسته به دولت می‌توانند آن‌ها را توسعه دهند. از آن جایی که لازاروس (Lazarus) قبلا هم با نوشتن این گونه بدافزارهای بدون فایل شناخته شده است، یکی از متهمان اصلی توسعه این بدافزار به شمار می‌رود.

البته این اتهام با دانش قبلی زده شده است. لازاروس مسئول توسعه بدافزاری به نام اپل جوس (AppleJeus) بوده که کارکردی مشابه این بدافزار بدون فایل داشته است. یکی از تحقیق کنندگان حوزه امنیت macOS به نام پاتریک واردل (Patrick Wardle) صحت این قضیه را تا حدودی تایید می‌کند. او با بررسی خط به خط کد این بدافزار و مقایسه آن با بدافزارهای قبلی توانسته شباهت این دو را تشخیص دهد.

فرایند آلوده شدن چگونه است؟

بدافزار بدون فایل

او همچنین فرایند آلوده شدن مکینتاش را گام به گام توضیح داده که در ادامه با هم مرور می‌کنیم:

  • انتقال یک لیست مخفی (.vip.unioncrypto.plist) از فهرست منابع اپلیکیشن‌ها به مسیر رو به رو: Library / LaunchDaemons /
  • تنظیم آن برای شناخته شدن توسط دسترسی روت
  • درست کردن کتابخانه Library / UnionCrypto /
  • انتقال یک باینری مخفی (.unioncryptoupdater) از فهرست منابع اپلیکیشن به مسیر رو به رو: / Library / UnionCrypto /
  • اجرایی کردن باینری
  • اجرای باینری رو به رو: / Library / UnionCrypto / unioncryptoupdater

تمامی مراحل بالا باعث می‌شود بدافزار فوق، خود را به عنوان یک برنامه تراکنش‌های ارز دیجیال به نام unioncryptoupdated معرفی کند، اما سپس خود را به برنامه‌ای «پایدار» تبدیل می‌کند که حتی با خاموش و روشن شدن لپ تاپ نیز از حافظه پاک نمی‌شود.

بدافزار بدون فایل چه کاربردی دارد؟

بسیاری از این بدافزارها باعث می‌شوند تا اطلاعات پایه سیستم ماند، شماره سریال، نسخه سیستم‌عامل و دیگر داده‌ها برای توسعه‌دهندگان آن‌ها نمایان شود. پس از آن سیستم آلوده شده سعی می‌کند با سرور / hxxps: // unioncrypto (.) Vip ارتباط برقرار کند. در صورت موفق بودن ارتباط، فایل Object File Image را دریافت می‌کند که بدون هیچ ردی روی هارد دیسک، توسط حافظه اجرا می‌شود.

کاربران چگونه می‌تواند سیستم خود را امن کنند؟

بدافزار بدون فایل

خبر خوب برای کاربران مکینتاش این است که این بدافزار بدون فایل UnionCryptoTrader.pkg، فایلی امضا نشده است. یعنی خود macOS قبل از نصب آن به شما هشدار می‌دهد که این قایل امن نیست. پس هرگاه چنین هشدارهایی را برای هر نرم‌افزاری دریافت کردید، از نصب آن خودداری کنید. زیرا این گونه بدافزارها آن قدر قوی هستند که تنها یک سوم از آنتی ویروس‌ها آن‌ها را تشخیص می‌دهند.

اما اگر آنتی ویروس ندارید یا این که آنتی ویروس شما این بدافزار را پیدا نکرده است، می‌توانید به صورت دستی دایرکتوری‌های زیر را چک کنید:

  • Launch Daemon property list: /Library/LaunchDaemons/vip.unioncrypto.plist
  • Running process/binary: /Library/UnionCrypto/unioncryptoupdater

البته این تیم، آنتی ویروسی به نام KnockKnock نیز برای پیدا کردن این برافزار توسعه داده است که می‌توانید آن را دانلود کرده و سیستم خود را اسکم کنید.

منبع:
techdator

مطالب مرتبط

تیزر رسمی مراسم آنپکد 2020 سامسونگ منتشر شد [تماشا کنید]

سامسونگ تیزر یکی از بزرگ ترین رویدادهای خود در سال جاری میلادی یعنی رویداد آنپکد 2020 (Unpacked) را منتشر کرد. پیش بینی می شود سازنده کره ای در این مراسم که 22 بهمن برگزار می شود، از خانواده گلکسی اس 20 و همچنین گوشی تاشو گلکسی زد فلیپ رونمایی کند.این تیزر با عنوان «تغییر شکل... ادامه مطلب

جهرمی: هزینه ساخت ماهواره های ظفر یک و دو کمتر از دو میلیون یورو بوده است

محمد جواد آذری جهرمی صبح امروز با انتشار توییتی از استقرار ماهواره بر سیمرغ در موقعیت پرتاب خبر داد و اعلام کرد که وزن این ماهواره بر ۸۰ تن است و میتواند ماهواره ظفر را تا ارتفاع ۵۳۰ کیلومتری از سطح زمین بالا ببرد.وزیر ارتباطات در پاسخ به سوال کاربران هزینه ساخت ظفر ۱ و... ادامه مطلب

سال گذشته هواوی جایگاه نخست فروش گوشی های 5G در دنیا را کسب کرد

طبق گزارشی که موسسه Strategy Analytics منتشر کرده هواوی در سال ۲۰۱۹ میلادی فروشنده شماره یک گوشی های 5G در دنیا بوده و سهم ۳۷ درصدی (برابر با ۶.۹ میلیون دستگاه) از این بازار را به خود اختصاص داده است.به گفته Ken Hyers مدیر این موسسه، هم اکنون تقاضا برای گوشی های هوشمند 5G بالاتر از سطح... ادامه مطلب

آپدیت iOS 13.3.1 باگ ردیابی موقعیت مکانی آیفون 11 را برطرف کرد

اپل آپدیت iOS 13.3.1 را برای آیفون و آیپد منتشر کرد. مهم ترین تغییر این نسخه امکان خاموش کردن ردیابی موقعیت مکانی تراشه U1 است.کاربران پس از نصب آپدیت iOS 13.3.1 می توانند با رفتن به قسمت Privacy > Location Services در تنظیمات آیفون، تراشه U1 Ultra Wideband را از طریق گزینه Networking & Wireless خاموش کنند.... ادامه مطلب

انتشار رندرهای رسمی و مشخصات کامل گلکسی زد فلیپ سامسونگ

یک سایت آلمانی رندرهای رسمی و مشخصات کامل سخت افزار گلکسی زد فلیپ را منتشر کرد.بر اساس گزارش سایت WinFuture، گلکسی زد فلیپ از نمایشگر 6.7 اینچی اولد با رزولوشن 2636x1080 پیکسل و نسبت تصویر 22:9 بهره می برد. این گزارش تأیید می کند که نمایشگر این گوشی از نوع «شیشه بسیار نازک» (UTG) است... ادامه مطلب

مدیر سابق ویندوز: اپل با معرفی آیپد مایکروسافت را شوکه کرد

استیون سینوفسکی مدیر سابق واحد ویندوز به تازگی از دیدگاه خود نسبت به معرفی آیپد در ۱۰ سال پیش، یعنی زمانی که در تیم ویندوز بود گفته است. در زمان ویندوز اکس پی مایکروسافت تمام تلاشش را به کار گرفت تا به ایده تبلت پی سی یا تبلت های دو در یک رنگ واقعیت بدهد... ادامه مطلب

نظرات ۰

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟