با افزایش سهم بازار رایانههای مک مبتنی بر ARM اپل، تلاشها برای به خطر انداختن آنها توسط گروههای هکری که قبلاً بیتفاوت بودند، افزایش یافته است. موجی از بدافزارهای اخیر ایجاد شده به طور خاص برای macOS نشان داده است که این گروه ها به اکوسیستم Mac به طور کلی محافظت شده روی می آورند. یکی از این تهدیدات بدافزار جدید که توسط Jamf Threat Labs کشف شده و “RustBucket” نام دارد، به عنوان یک نمایشگر PDF شخص ثالث عمل می کند. خود برنامه تا زمانی که یک PDF خاص باز شود که شامل یک کلید رمزگذاری شده است که باعث ایجاد ارتباط بین سرور مهاجم و مک قربانی می شود و یک بار کوچک مخرب برای دانلود باز شود، هیچ کار مخربی انجام نمی دهد. محموله اولیه شروع به اجرای دستورات شناسایی سیستم برای تعیین اطلاعات ماشین می کند، سپس یک بار مرحله سوم را دانلود می کند که به مهاجمان دسترسی بیشتری به سیستم عامل زیرین می دهد. تمام مراحل پس از باز کردن PDF توسط کاربر به صورت بی صدا در پس زمینه انجام می شود. نمایشگر PDF که به عنوان کاتالیزور این هک استفاده میشود، نیاز به لغو دستی Gatekeeper اپل دارد، زیرا هیچ امضایی ندارد، بنابراین گام واضح برای کاهش این حمله استفاده نکردن از برنامهها یا خدمات شخص ثالث فراتر از برنامههای سازماندهی شده در فروشگاه App Apple است.
دومین بدافزار macOS هفته توسط Cyble Research and Intelligence Labs (CRIL) کشف شد و با مبلغ ناچیز 1000 دلار در ماه در کانال تلگرام ارائه شد، بدافزاری که “Atomic macOS Stealer” یا “AMOS” نام دارد. این بدافزار توانایی بازیابی رمزهای عبور زنجیره کلید، اطلاعات سیستم، فایل های دسکتاپ و پوشه اسناد، رمز عبور کاربر macOS، تکمیل خودکار مرورگر، رمز عبور، کوکی ها، کیف پول ها و اطلاعات کارت اعتباری ذخیره شده را دارد. این بدافزار مخصوصاً برای حمله به کیفهای دیجیتال با استفاده از Cyble با ذکر نمونههایی مانند Electrum، Binance، Exodus، Atomic و Coinomi مناسب است. Cyble خاطرنشان میکند که مشاهده کردهاند که بدافزار توسعه فعالی برای بهبود قابلیتهای خود دریافت میکند و عوامل تهدید حتی نرمافزارهای مدیریتی و پنلهای وب را برای ردیابی ماشینهای قربانی ارائه میکنند که همگی دارای یک سیستم ثبت گزارش هستند که در تلگرام بارگذاری میشود. بردار حمله فعلی یک فایل Golang.dmg ساده است که بدافزار را نصب می کند، بنابراین به نظر می رسد نیاز به دسترسی مستقیم به دستگاه دارد. با این حال، پس از نصب، “AMOS” کار خود را بدون شناسایی انجام می دهد و یک فایل فشرده را با تمام اطلاعاتی که جمع آوری کرده است به سرور مهاجم ارسال می کند.
مرجع اخبار سخت افزار کامپیوترایران
