با افزایش سهم کامپیوترهای مک مبتنی بر معماری آرم کمپانی اپل از بازار، تلاشها برای کشف حفرههای امنیتی موجود در سیستمعامل مکینتاش (macOS) نیز سیر صعودی به خود گرفته است. دنبالهای از بدافزارهایی که اخیراً بهطور کاملاً اختصاصی برای این پلتفرم توسعه پیدا کردهاند نشاندهنده معطوف شدن حواس گروههای هکری مختلف به سمت و سوی آن میباشد. یکی از این موارد که “RustBucket” نام گرفته و بهتازگی توسط شرکت Jamf Threat کشف شده است در قالب یک نرمافزار سوم شخص ساده اجرای فایلهای PDF عمل میکند. این اپلیکیشن به خودی خود ضرری نخواهد داشت، اما زمانی که یک فایل PDF بهخصوص حاوی کلیدهای کدگذاری توسط آن گشوده شود، ارتباط بین سرور فرد مهاجم و کامپیوتر مک قربانی برقرار شده و یک بدافزار کوچک دانلود میشود. بدافزار اولیه با اجرای فرامین سیستمی به شناسایی اطلاعات رایانه پرداخته و پس از آن در مرحله سوم به دانلود بدافزار دیگری میپردازد تا سطح دسترسی مهاجم افزایش پیدا کند. تمامی مراحل حمله بهصورت مخفی در پسزمینه سیستمعامل صورت میپذیرد. نرمافزار نمایشگر فایلهای PDF که بهعنوان یک کاتالیست در این سناریو به ایفای نقش میپردازد به دلیل عدم برخورداری از امضای دیجیتال نیازمند دور زدن مکانیسم ایمنی Gatekeeper سیستمعامل مکینتاش (macOS) میباشد، بنابراین راهکار واضح برای مصون ماندن در برابر آن عدم دریافت اپلیکیشنها از منابع سوم شخص و دانلود مستقیم آنها از اپ استور است.
دومین بدافزار مکینتاش (macOS) در این هفته از آن “Atomic macOS Stealer” یا بهاختصار “AMOS” میباشد که هماکنون با قیمت 1000 دلار در یک کانال تلگرامی در حال فروش بوده و توسط شرکتهای Cyble Research و Intelligence Labs کشف شده است. این بدافزار از توانایی دسترسی به پسوردهای سیستم مدیریت Keychain، اطلاعات سیستم، فایلهای موجود در دایرکتوریهای دسکتاپ و اسناد (Documents)، رمزهای عبور حسابهای کاربری سیستم، گذرواژههای مرورگرها، کوکیها، والتها و اطلاعات کارتهای بانکی برخوردار میباشد. طراحی این بدافزار بهصورت کاملاً اختصاصی برای هدف قرار دادن والتهای ارزهای دیجیتالی همچون Electrum ،Binance ،Exodus ،Atomic و Coinomi انجام پذیرفته است. شرکت Cyble اظهار داشته است که این بدافزار در حال حاضر همچنان در حال پشتیبانی رسمی از جانب سازندگان خود بوده و حتی یک پنل اینترنتی و نرمافزار مدیریت برای ردیابی کامپیوترهای قربانی نیز برای آن توسعه پیدا کرده است. بردار حملات کنونی با نصب یک فایل ساده Golang.dmg بر روی سیستمهای هدف آغاز میگردد، بنابراین به نظر میرسد که دسترسی مستقیم به کامپیوتر لازم و ضروری است، اما بدافزار AMOS پس از نصب، جادوی خود را در پسزمینه سیستمعامل بهصورت مخفی به انجام رسانده و یک فایل فشرده با تمامی اطلاعات جمعآوری شده را به سرور مهاجم ارسال میکند.
منبع: TechPowerUP
