خرابکاری جدید گروه لازاروس؛ حمله به مکینتاش با بدافزار بدون فایل

شواهد حاکی از آن است که گروه هکری لازاروس این بار سیستم‌عامل macOS را هدف قرار داده است. بر اساس بررسی‌های انجام شده، بدافزاری که این گروه توسعه داده‌اند، یک بدافزار بدون فایل بوده که توسط بیشتر آنتی ویروس‌ها شناسایی نمی‌شوند. این روش بسیار پیشرفته بوده و اکثرا توسط گروه‌های هکری وابسته به دولت‌ها استفاده می‌شود.

این بدافزار چگونه کار می کند؟

بدافزار بدون فایل

آنتی ویروس‌ها همیشه نوشتن ها و خواندن‌های روی هارد دیسک را بررسی می‌کنند تا ویروس‌ها و بدافزارها را شناسایی کنند. اما این بدافزار بدون نوشتن داده‌ای روی دیسک، مستقیم از طریق حافظه دستگاه، اجرا می‌شود و هیچ ردی هم از خود روی دیسک باقی نمی‌گذارد. در نتیجه این گونه بدافزارها، به بهترین در نوع خود تبدیل می شوند زیرا اکثر آنتی ویروس‌ها نمی‌توانند آن‌ها را تشخیص دهند.

چرا لازاروس متهم اصلی است؟

بدافزار بدون فایل

این سیستم بدافزارها که معمولا تحت نام بدون فایل (Fileless) شناخته می‌شوند، بدون استفاده از هارد دیسک و فقط از طریق مموری یا همان حافظه، نوشتن و خواندن‌ها را انجام می‌دهند. اما این نحوه از توسعه بدافزارها، آن قدر پیچیده و سخت است که تنها هکرهای وابسته به دولت می‌توانند آن‌ها را توسعه دهند. از آن جایی که لازاروس (Lazarus) قبلا هم با نوشتن این گونه بدافزارهای بدون فایل شناخته شده است، یکی از متهمان اصلی توسعه این بدافزار به شمار می‌رود.

البته این اتهام با دانش قبلی زده شده است. لازاروس مسئول توسعه بدافزاری به نام اپل جوس (AppleJeus) بوده که کارکردی مشابه این بدافزار بدون فایل داشته است. یکی از تحقیق کنندگان حوزه امنیت macOS به نام پاتریک واردل (Patrick Wardle) صحت این قضیه را تا حدودی تایید می‌کند. او با بررسی خط به خط کد این بدافزار و مقایسه آن با بدافزارهای قبلی توانسته شباهت این دو را تشخیص دهد.

فرایند آلوده شدن چگونه است؟

بدافزار بدون فایل

او همچنین فرایند آلوده شدن مکینتاش را گام به گام توضیح داده که در ادامه با هم مرور می‌کنیم:

  • انتقال یک لیست مخفی (.vip.unioncrypto.plist) از فهرست منابع اپلیکیشن‌ها به مسیر رو به رو: Library / LaunchDaemons /
  • تنظیم آن برای شناخته شدن توسط دسترسی روت
  • درست کردن کتابخانه Library / UnionCrypto /
  • انتقال یک باینری مخفی (.unioncryptoupdater) از فهرست منابع اپلیکیشن به مسیر رو به رو: / Library / UnionCrypto /
  • اجرایی کردن باینری
  • اجرای باینری رو به رو: / Library / UnionCrypto / unioncryptoupdater

تمامی مراحل بالا باعث می‌شود بدافزار فوق، خود را به عنوان یک برنامه تراکنش‌های ارز دیجیال به نام unioncryptoupdated معرفی کند، اما سپس خود را به برنامه‌ای «پایدار» تبدیل می‌کند که حتی با خاموش و روشن شدن لپ تاپ نیز از حافظه پاک نمی‌شود.

بدافزار بدون فایل چه کاربردی دارد؟

بسیاری از این بدافزارها باعث می‌شوند تا اطلاعات پایه سیستم ماند، شماره سریال، نسخه سیستم‌عامل و دیگر داده‌ها برای توسعه‌دهندگان آن‌ها نمایان شود. پس از آن سیستم آلوده شده سعی می‌کند با سرور / hxxps: // unioncrypto (.) Vip ارتباط برقرار کند. در صورت موفق بودن ارتباط، فایل Object File Image را دریافت می‌کند که بدون هیچ ردی روی هارد دیسک، توسط حافظه اجرا می‌شود.

کاربران چگونه می‌تواند سیستم خود را امن کنند؟

بدافزار بدون فایل

خبر خوب برای کاربران مکینتاش این است که این بدافزار بدون فایل UnionCryptoTrader.pkg، فایلی امضا نشده است. یعنی خود macOS قبل از نصب آن به شما هشدار می‌دهد که این قایل امن نیست. پس هرگاه چنین هشدارهایی را برای هر نرم‌افزاری دریافت کردید، از نصب آن خودداری کنید. زیرا این گونه بدافزارها آن قدر قوی هستند که تنها یک سوم از آنتی ویروس‌ها آن‌ها را تشخیص می‌دهند.

اما اگر آنتی ویروس ندارید یا این که آنتی ویروس شما این بدافزار را پیدا نکرده است، می‌توانید به صورت دستی دایرکتوری‌های زیر را چک کنید:

  • Launch Daemon property list: /Library/LaunchDaemons/vip.unioncrypto.plist
  • Running process/binary: /Library/UnionCrypto/unioncryptoupdater

البته این تیم، آنتی ویروسی به نام KnockKnock نیز برای پیدا کردن این برافزار توسعه داده است که می‌توانید آن را دانلود کرده و سیستم خود را اسکم کنید.

مطالب مرتبط

هکرهای توییتر چطور به دام پلیس فدرال آمریکا افتادند؟

در روز ۱۵ جولای امسال بود که یکی از کاربران دیسکورد با لقب Kirk، پیشنهادی وسوسه‌برانگیز مطرح کرد: «من در توییتر کار می‌کنم. من می‌توانم [هر اکانتی با] هر نامی را به دست بگیرم. اگر در حال انجام کاری هستی به من خبر بده». این نقطه سرآغاز چیزی بود که تنها چند ساعت بعد بزرگ‌ترین... ادامه مطلب

توییتر حمله فیشینگ هدف‌دار را عامل هک گسترده این پلتفرم اعلام کرد

توییتر اطلاعات جدیدی در مورد حمله بی سابقه به این پلتفرم منتشر کرد. به گفته این شبکه اجتماعی برخی از کارمندان این شرکت قربانی حمله فیشنگ هدف‌دار (Spear Phishing) شده و زمینه را برای دسترسی هکرها به ابزارهای محرمانه فراهم کرده‌اند.توییر با انتشار چند توییت و مقاله در وبلاگ این شرکت اعلام کرد که برخی... ادامه مطلب

آسیب پذیری Boothole کشف شد؛ میلیاردها سیستم لینوکسی و ویندوزی در خطر

محققان آسیب پذیری جدیدی به نام BootHole شناسایی کرده‌اند که قبل از بالا آمدن سیستم عامل فعال شده و به هکرها دسترسی لجام گسیخته به سیستم را می‌دهد. با اینکه سیستم‌های لینوکسی مستقیماً در معرض خطر این آسیب پذیری هستند، اما به گفته محققان کامپیوترهای ویندوزی از یک دهه گذشته تاکنون نیز در برابر آن آسیب... ادامه مطلب

کسپرسکی: هکرهای کره شمالی در پشت پرده باج افزار VHD هستند

شرکت توسعه دهنده آنتی ویروس کسپرسکی در گزارشی که روز گذشته منتشر کرد اعلام نمود باج افزار جدیدی که با نام VHD شناخته می شود محصول هکرهای وابسته به دولت کره شمالی است. در این گزارش به جزئیات دو اتفاقی اشاره شده که در آنها هکرها به شبکه های مورد استفاده شرکت ها نفوذ کرده و... ادامه مطلب

هکرها بیش از ۳۸۶ میلیون سابقه کاربری از ۱۸ شرکت را به طور رایگان منتشر کردند

هکرها بیش از ۳۸۶ میلیون سابقه کاربری مربوط به ۱۸ شرکت را به طور رایگان در یک فروم هک منتشر کردند.از حدود ده روز قبل گروه هک ShinyHunters که در زمینه فروش اطلاعات سرقتی فعالیت می‌کند، انتشار رایگان دیتابیس‌ها را در یک فروم خرید و فروش اطلاعات سرقتی آغاز کرده است. این گروه هک در گذشته... ادامه مطلب

گارمین حمله باج افزاری را تأیید کرد؛ بازگشت سرویس‌ها به حالت عادی

گارمین سرانجام روز دوشنبه حمله باج افزاری به این شرکت را تأیید کرد. این حمله اول مرداد ماه انجام شد و بخش قابل توجهی از سرویس‌های پایش تناسب این شرکت را از کار انداخت. حال چند روز پس از حمله، سرویس Garmin Connect و خدمات دیگر مجدداً فعالیت خود را آغاز کرده‌اند.گارمین با انتشار بیانیه... ادامه مطلب

نظرات ۰

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟