محمد بختیاری

بدافزار CloudMensis با دور زدن سیستم امنیتی macOS می‌تواند به تمام سیستم نفوذ کند

بدافزار جدیدی کشف شده که مخصوص سیستم‌های مک طراحی شده است و می‌تواند به سستم‌ها نفوذ کند و داده‌های حساس را به‌سرقت ببرد.

جزئیات شناسایی این بدافزار توسط شرکت امنیت اینترنتی ESET دردسترس قرار گرفت. این شرکت بدافزار را به‌دلیل وابستگی آن به خدمات ذخیره‌سازی ابری CloudMensis نامیدند.

براساس گزارشی که بلیپینگ کامپیوتر آن را به‌اشتراک گذاشت، بدافزار CloudMensis می‌تواند با موفقیت کامل و بدون اطلاع کاربر، اسکرین‌شات بگیرد؛ علاوه‌براین، امکان ذخیره‌ی ضربه‌های واردشده به کلیدها، دراختیار گرفتن فایل‌ها و اسناد (حتی از درون دستگاه‌های ذخیره‌سازی قابل‌حمل) و فهرست‌کردن پیام‌ها و فایل‌های ضمیمه ایمیل را برای مهاجم فراهم می‌کند.

بدافزار CloudMensis دراصل در آوریل ۲۰۲۲ میلادی (فروردین ۱۴۰۱ شمسی) توسط ESET شناسایی شد. این بدافزار با هدف اجرای کانال فرمان و کنترل (C2) از pCloud Yandex Disk و Dropbox استفاده می‌کند.

بدافزار کشف‌شده نسبتاً پیشرفته است، به‌طوری که قادر به اجرای فرمان‌های مخرب متعددی مانند نمایش پردازش‌های درحال اجرا، اجرای فرمان‌های Shell و آپلود خروجی در فضای ابری ذخیره‌سازی و دانلود و بازکردن فایل‌های دلخواه، است.

با توجه به اینکه CloudMensis به‌تازگی کشف شده، هویت افرادی که در پسِ پرده‌ی حملات این بدافزار هستند، همچنان ناشناس مانده است.

مارک اتین لِویه، محقق امنیتی در شرکت ESET در این رابطه توضیح داد:

هنوز نمی‌دانیم که CloudMensis چگونه توزیع شده است و اینکه هدف این بدافزار دقیقاً چه کسانی خواهد بود. کیفیت کلی کدهای بدافزار و عدم وجود مبهم‌سازی کدها (مشوّش کردن عمدی کدها برای ایجاد دشواری در درک آن‌ها) نشان می‌دهد که برنامه‌نویسی بدافزار توسط فردی انجام شده که احتمالاً با توسعه برای محیط مک آشنایی ندارد و خیلی پیشرفته نیست. با‌این حال، منابع زیادی برای تبدیل CloudMensis به یک ابزار قدرتمند جاسوسی به‌کار گرفته شده و قطعاً تهدید جدی برای اهداف بالقوه خواهد بود.

تحلیل‌های ایسِت نشان می‌دهد که اجراکننده‌های بدافزار توانستند در تاریخ ۴ فوریه ۲۰۲۲ میلادی (۱۵ بهمن ۱۴۰۰) به اولین هدف مک خود نفوذ کنند. نکته‌ی جالب این است که بدافزار CloudMensis چندین بار برای آلوده کردن یک هدف مورد استفاده قرار گرفته است. علاوه‌براین، توانایی برنامه‌نویسی با زبان آبجکتیو-سی هکرها حکایت از آن دارد که خیلی با پلتفرم مک‌اواس آشنایی ندارند.

زمانی که محققان شرکت ESET، آدرس‌های فضای ابری ذخیره‌سازی مرتبط با بدافزار CloudMensis را بررسی کردند، اَبَرداده‌های (متادیتا) مربوطه از درایوهای ابری مشخص کردند که از تاریخ ۴ فوریه تا آوریل ۲۰۲۲ (فروردین ۱۴۰۱) درمجموع ۵۱ قربانی مورد حمله قرار گرفتند.

به‌محض اینکه بدافزار روی سیستم مک اجرا می‌شود، CloudMensis می‌تواند به‌طور کامل در بخش رضایت و کنترل شفافیت (Transparency Consent and Control) سیستم‌عامل مک‌اواس اپل به‌صورت کاملاً ناشناس نفوذ کند. این ویژگی به کاربر هشدار می‌دهد که برخی اپلیکیشن‌ها درخواست مجوز عکس‌برداری از صفحه و نظارت بر کلیدهای کیبورد را دارند.

مقاله‌ی مرتبط:

بنابراین، CloudMensis با جلوگیری از نمایش آن TCC، می‌تواند متعاقباً عکس‌های صفحه‌ی مک و فعالیت‌های مرتبط را مشاهده کند و حتی دستگاه‌های ذخیره‌سازی قابل جابه‌جایی را نیز اسکن کند.

در هر صورت، با توجه به اینکه بدافزار می‌تواند به این راحتی اقدامات امنیتی مک را دور بزند، قطعاً پیچیدگی‌های خاص خود را دارد و نباید گول سادگی آن را خورد.

افزون‌براین، فقط سیستم‌های مک نیستند که درمعرض خطر قرار دارند، پی‌سی‌مگ نشان می‌دهد که چگونه کدهای برنامه‌نویسی‌شده در بدافزار تأیید می‌کند که توانایی نفوذ به سیستم‌های مجهز به اینتل را نیز دارد.

کارشناسان ESET درنهایت گفتند:

بدافزار CloudMensis تهدیدی برای کاربران مک است؛ اما توزیع محدود آن نشان می‌دهد که این بدافزار در راستای یک عملیات هدفمند مورد استفاده قرار گرفته است. درحال‌حاضر، هنوز در طول تحقیقات هیچ آسیب‌پذیری کشف‌نشده‌ای (حمله روز صفر) پیدا نکرده‌ایم که توسط این گروه مورد سوءاستفاده قرار گرفته باشد. بنابراین، به‌روزرسانی مک حتماً توصیه می‌شود تا حداقل از دور زدن ایستگاه‌های امنیتی پیش‌فرض جلوگیری شود.

دیدگاه شما کاربران زومیت در رابطه با بدافزار CloudMensis چیست؟ آیا می‌توان گفت با توجه به تعداد کم اهداف و فرایند پیچیده‌ای که اجرا می‌کند، شیوه‌ی ساده کدنویسی آن جنبه‌ی انحرافی دارد؟

پاسخی بنویسید