بدافزار UpdateAgent در مک هر روز پیشرفته‌تر می‌شود

بدافزار UpdateAgent مک به مدت ۱۴ ماه است که بین دستگاه‌های مختلف پخش می‌شود و روی سیستم‌های آلوده‌ شده بک‌دور یا در پشتی (Backdoor) نصب می‌کند.

به‌گزارش ویندوز سنترال، تیم مدافع تهدید اطلاعاتی مایکروسافت می‌گوید: بدافزار معروف مک که با نام UpdateAgent شناخته می‌شود، بیشتر از یک سال است که به شکل عجیبی در حال گسترش است و با توجه به ویژگی‌های پرزرق‌وبرقی که همواره توسعه‌دهندگانش به آن اضافه می‌کنند، هر روز خطرناک‌تر می‌شود. ویژگی‌های جدید شامل نوع مهاجم پی‌لود (Payload) بدافزار نمایش تبلیغات (Adware) می‌شود که روی مک‌های آلوده‌شده بک‌دور مستحکمی نصب می‌کند.

خانواده بدافزارهای UpdateAgent در ماه‌های پایانی سال ۲۰۲۰ میلادی (پاییز ۱۳۹۹) تقریباً به‌عنوان سارق اطلاعات پایه‌ای شروع به گردش کرد. این بدافزار، نام محصولات، شماره نسخه و سایر اطلاعت پایه‌ای سیستم‌ها را جمع‌آوری کرد. علاوه بر این، روش ماندگاری این بدافزار -یعنی توانایی راه‌اندازی خود با هر بار راه‌اندازی مک- نیز نسبتاً ابتدایی بود.

مایکروسافت در هفته گذشته گفت که بدافزار «عامل به‌روزرسانی» در طول زمان به‌طور فزاینده‌ای پیشرفته شده است. بدین ترتیب، این بدافزار گذشته از داده‌هایی که به سرور هکر ارسال می‌کند، ضربان قلب اپلیکیشن را نیز برای هکر مخابره می‌کند تا به او نشان دهد همچنان فعال است و از کار نیفتاده است. از سویی دیگر، این بدافزار نوعی adware با نام Adload نیز نصب می‌کند.

محقق امنیتی مایکروسافت گزارش کرده است که:

به‌محض اینکه بدافزار adware نصب شود با استفاده نرم‌افزار تزریق تبلیغات و تکنیک‌های رهگیری ارتباطات دستگاه میزبان و هدایت کردن ترافیک کاربر به سمت سرورهای اجرایی ادوِر، عملیات تزریق تبلیغات به صفحات وب‌سایت‌ها و نتایج جست‌وجو را اجرا خواهد کرد. در‌ واقع، به زبان تخصصی بدافزار Adload با نصب یک پروکسی وب برای سرقت نتایج موتور جست‌وجو و تزریق تبلیغات درون صفحات وب نوعی حمله مرد میانی (Man-in-The-Middle) را اجرا می‌کند که باعث می‌شود درآمد تبلیغات اصلی وب‌سایت متوقف شود و درعوض اپراتورهای بدافزار adware درآمد کسب کنند.

همچنین، ادلود (Adload) به‌عنوان نوعی بدافزار تبلیغات با مقاومت بالا شناخته می‌شود. این بدافزار قابلیت ایجاد در‌ پشتی برای دانلود و نصب دیگر بدافزارها و پی‌لودها را دارد و قادر است اطلاعاتی که از سیستم به سرور فرمان و کنترل (C2 Server) هکر ارسال می‌شود را جمع‌آوری کند. با در نظر گرفتن اینکه بدافزارهای ادلود و آپدیت‌ایجنت هر دو توانایی نصب پی‌لودهای اضافی را دارند، به هکر امکان می‌دهند که با اهرم کردن هرکدام یا هردوی این ابزار تهدیدهای جدی‌تری برای سیستم میزبان به‌وجود بیاورند.

بدافزار آپدیت‌ایجنت قبل از نصب ادوِر، اعلان «Gatekeeper» را حذف می‌کند. این پرچم نشانی است که مکانیزم امنیتی سیستم‌عامل macOS روی فایل‌های دانلود شده می‌گذارد. در‌ واقع، گیت‌کیپر، وظیفه دارد به کاربر اعلام کند که نرم‌افزار جدیدی از اینترنت روی سیستم نصب شده است؛ همچنین، با تطابق نرم‌افزار جدید با مشخصات بدافزارهای شناخته‌شده، سلامت آن را تأیید می‌کند. با وجود ‌این که سازوکار بدافزار مخرب جدید نیست و مشابه بدافزار مک مربوط به سال ۲۰۱۷ عمل می‌کند، ادغام آن با آپدیت‌ایجنت حکایت از آن دارد که بدافزار کنونی به‌طور مرتب در‌ حال توسعه و پیشرفت است.

وظیفه‌ی اصلی بدافزار آپدیت‌ایجنت تا آنجا گسترش یافته که داده‌های پروفایل سیستم و SPHardwaretype را گردآوری می‌کند. این داده‌ها علاوه‌بر اطلاعات حیاتی دیگر، شماره سریال مک را نیز شامل می‌شود. در نسخه‌ی جدید بدافزار شاهد آن هستیم که به‌جای فولدر LaunchAgent، فولدر LaunchDaemon را اصلاح می‌کنند و تغییر می‌دهند. درحالی‌که برای اعمال تغییر باید آپدیت‌ایجنت با دسترسی مدیر راه‌اندازی شود، تغییر به تروجان اجازه می‌دهد که کدهای همیشگی تزریق کنند تا از پایه راه‌اندازی شود.

در جدول زمانی زیر می‌توان مراحل رشد و تکامل این بدافزار را بررسی کرد:

در تصویر زیر نیز می‌توان مراحل اجرای عملیات بدافزار را مشاهده کرد:

در هر صورت، تکامل بدافزار آپدیت‌ایجنت در قیاس‌ با سایر بدافزارهای مک‌او‌اس مقیاس مینیاتوری دارد؛ اما هر روزه بدافزارها پیشرفته‌تر خواهند شد. از این رو، کاربران مک باید بدانند که چگونه فریب‌های مهندسی اجتماعی را شناسایی کنند، مثل پاپ‌آپ‌های ناگهانی که در مرورگر باز می‌شوند و اخطار آلودگی نیز توسط مرورگر بیان می‌شود.

دیدگاه شما کاربران زومیت درباره امنیت سیستم‌عامل Mac OS چیست؟