باج‌افزار جدید مک، خطرناک‌تر از آن چیزی است که به‌نظر می‌رسد

باج‌افزارها از سال‌ها پیش به‌عنوان یکی از خطرناک‌ترین تهدیدهای سایبری شناخته می‌شدند. تا چهار سال پیش که اولین باج‌افزار خطرناک مک شناسایی شد، تصور عمومی بر آن بود که سیستم‌عامل اپل، آسیب‌پذیری کمتری در برابر این دسته از بدافزارها دارد. چند روز پیش، یک محقق امنیتی به‌نام Dinesh Devadoss، از کشف باج‌افزار جدیدی در مک خبر داد که ظاهرا خطر زیادی برای کاربران دارد. او که به‌عنوان محقق در شرکت امنیتی K7 Lab فعالیت می‌کند، جزئیات عملکرد باج‌افزار را منتشر کرد که پیامدهایی جدی در رسانه‌های امنیت سایبری جهان داشت.

محققان، ابتدا نام EvilQuest را برای باج‌افزار جدید مک انتخاب کردند. پس از آن‌ که مشخص شد سری بازی‌های ویدیویی به همین نام و از شرکت Steam منتشر شده است، نام باج‌افزار به ThiefQuest تغییر کرد. اطلاعات جدید نشان می‌دهد بدافزار مذکور، خطرهایی بیش از تصورات اولیه برای کاربران دارد.
بدافزار جدید macOS، علاوه بر عملکرد باج‌افزاری، از مجموعه‌ای از توانایی‌های خرابکارانه‌ی دیگر هم بهره می‌برد. مجرمان با استفاده از آن توانایی انجام فعالیت‌های جاسوسی، استخراج فایل‌ها از کامپیوتر آلوده، جست‌وجوی سیستم برای رمزهای عبور و اطلاعات کیف‌پول رمزارز، اجرای Keylogger و استخراج اطلاعات رمز، کارت‌های اعتباری یا دیگر اطلاعات شخصی و مالی کاربر را هم پیدا می‌کنند. ساختار جاسوس‌افزار، یک در پشتی را نیز در سیستم قربانی ایجاد می‌کند و درنتیجه پس از بارگذاری مجدد سیستم نیز به فعالیت ادامه می‌دهد. مجرمان می‌توانند از آن برای اجرای حمله‌های ثانویه هم استفاده کنند. باتوجه‌به اینکه باج‌افزارها در سیستم‌عامل مک، آن‌چنان مرسوم و گسترده نیستند، چنین سبکی از نفوذ و سوءاستفاده‌ی سایبری، قابل‌توجه و خطرناک به‌نظر می‌رسد.

پاتریک واردل، محقق ارشد اکمنیت سایبری در شرکت Jamf درباره‌ی باج‌افزار ThiefQuest می‌گوید:

    با بررسی کد زیرساختی بدافزار، می‌توان بخش منطقی باج‌افزار را از منطق در پشتی جدا کرد و هرکدام، به‌تنهایی بدافزار مستقل و خطرناکی محسوب می‌شود. ترکیب آن‌ها، قطعا خطرهای بیشتری را به‌همراه خواهد داشت. من تصور می‌کنم یک مجرم سایبری این بدافزار را ابتدا برای نفوذ و در دست گرفتن کنترل کامل کامپیوتر مک طراحی کرده است. سپس قابلیت‌های باج‌افزاری اضافه شده‌اند تا مجرمان درآمد بیشتری کسب کنند.

با وجود خطرهای بسیاری که برای باج‌افزار ThiefQuest بیان می‌شود، خطر آن برای کاربران عادی که مراقبت مناسبی در فعالیت‌های آنلاین دارند، آن‌چنان زیاد نیست. درواقع اگر کاربر مراقب دانلود کردن نرم‌افزارهای دزدی یا تقلبی یا موارد مشابه باشد، خطر آن‌چنانی او را تهدید نمی‌کند. توماس رید، محقق ارشد پلتفرم‌های موبایل و مک شرکت امنیتی Malwarebytes متوجه شد که بدافزار مخرب، ازطریق سرویس‌های تورنت توزیع می‌شود. او می‌گوید بدافزار تحت نام نرم‌افزارهای معتبر و پرطرفداری مانند سرویس امنیتی Little Snitch توزیع می‌شود. به‌علاوه، در برخی موارد ThiefQuest تحت عنوان نرم‌افزار DJ موسوم به Mixed In Key و پلتفرم موسیقی Ableton هم دیده شده است.

دوادوس می‌‌گوید خود بدافزار به‌گونه‌ای طراحی شده است تا شبیه به یک برنامه‌ی Google Software Update به‌نظر برسد. درنهایت به‌نظر نمی‌رسد باج‌افزار مذکور در ابعاد قابل‌توجهی توزیع شده باشد. ظاهرا هیچ‌کس هم تاکنون به آدرس بیت‌کوین ارائه‌شده توسط مجرمان سایبری، باج واریز نکرده است.

کاربران قربانی باج‌افزار جدید، احتمالا نصب‌کننده‌ی آن را از تورنت دانلود می‌کنند. در مراحل بعدی، اپل هم هشدارهایی جدی در زمان نصب نرم‌افزار نمایش می‌دهد. درنتیجه می‌توان بهترین راه برای جلوگیری از آلوده شدن به باج‌افزار را همان رویکردهای امنیتی شخصی و کاربری دانست که مهم‌تر از همه، شامل دانلود و نصب نرم‌افزار از منابع معتبر می‌شود. توسعه‌دهنده‌هایی که مجوز (Sign) رسمی از اپل دارند و خود اپ استور اپل، منابع معتبری برای نصب نرم‌افزار در مک هستند. نکته‌ی قابل‌توجه اینکه اپل هنوز اظهار نظری پیرامون باج‌افزار جدید ارائه نکرده است.
ترکیب قابلیت‌های باج‌افزاری و جاسوس‌افزاری در ThiefQuest بسیار عجیب به‌نظر می‌رسد

همان‌طور که گفته شد، ThiefQuest قابلیت‌های بسیار زیادی دارد و باج‌افزار را با جاسوس‌افزار ترکیب می‌کند. ازطرفی هنوز هدف و برنامه‌ی نهایی توسعه‌دهنده‌ی آن مشخص نیست. دلیل اصلی را می‌توان در ناقص بودن بخش باج‌افزار مشاهده کرد. باج‌افزار تنها یک آدرس بیت‌کوین را به قربانی نمایش می‌دهد تا باج موردنظر را به آن واریز کند. باتوجه‌به طبیعیت ناشناس شبکه‌‌ی بیت‌کوین، هکرها متوجه نمی‌شوند که کدام قربانی، باج را پرداخت کرده است. به‌علاوه، هیچ آدرس ایمیلی هم در پیام باج‌افزار دیده نمی‌شود. عموما آدرس ایمیل در باج‌افزارها برای گفت‌وگو بین قربانی و مجرم استفاده می‌شود تا اطلاعات رمزگشایی اطلاعات و همچنین پرداخت، تبادل شود. درنهایت می‌توان ادعا کرد که گروه توسعه‌دهنده‌ی ThiefQuest، برنامه‌های باج‌افزاری آن‌چنان جدی نداشته‌اند. واردل هم در تحلیل‌های خود متوجه شد که با وجود حضور قابلیت‌های رمزگذاری اطلاعاتی در ThiefQuest، ظاهرا مجرمان تصمیمی جدی برای استفاده‌ی گسترده از آن بخش نداشته‌اند.

محققان امنیتی اعتقاد دارند مجرمان سایبری با برنامه‌های جاسوسی نصب جاسوس‌افزار، عمدتا به‌دنبال مخفی کردن فعالیت و حضور خود در کامپیوتر قربانی هستند. درنتیجه ترکیب بدافزار جدید با سیستم باج‌افزار، آن‌چنان منطقی به‌نظر نمی‌رسد. به‌هرحال وقتی پیام باج‌افزار به قربانی نمایش داده می‌شود، عملکرد او در سیستم تغییر می‌کند و متوجه حضور یک عامل بیرونی می‌شود. در چنین وضعیتی کاربر قطعا فعالیت‌های دیگر مانند خرید آنلاین یا استفاده از کارت‌های اعتباری به هر دلیل دیگر را متوقف می‌کند. ازطرفی، باج‌افزارها عموما نیاز به حضور ادامه‌دار در کامپیوتر قربانی، حتی پس از بارگذاری مجدد را ندارند و تنها با یک بار رمزگذاری فایل‌ها، کار خود را انجام می‌دهند. درنهایت وقتی یک نرم‌افزار مخرب، خود را به‌صورت بدافزار نشان می‌دهد و حضوری ادامه‌دار هم دارد، جامعه‌ی محققان سایبری آن را با دقت بررسی و تحلیل می‌کنند و فعالیت‌های آتی‌اش هم مسدود می‌شود.

رید درباره‌ی تحلیل عملکرد ThiefQuest می‌‌گوید: «وقتی شما تصمیم دارید تا از کامپیوتر قربانی فایل و اطلاعات استخراج کنید، عموما عملکردی مخفیانه خواهید داشت و در پس‌زمینه، به‌صورت کاملا بی‌صدا کار خود را انجام می‌دهید. این باج‌افزار سروصدای زیادی داشت و سیستم من هر ۳۰ ثانیه، پیام هشدار ارسال می‌کرد».

بدافزار جدید مک، قابلیت‌های مبهمی برای مخفی نگه داشتن عملیات خود دارد. به‌عنوان مثال اگر ابزارهای امنیتی همچون آنتی‌ویروس نورتون روی سیستم کاربر نصب شده باشند، باج‌افزار عمل نمی‌کند. به‌علاوه در محیط‌هایی همچون محیط‌های آزمایش امنیتی و سیستم‌‌های مجازی نیز شاهد عملکرد آن‌چنان جدی بدافزار نیستیم. در تحلیل کدهای زیرساختی بدافزار نیز برخی از قابلیت‌ها به‌صورت مخفی هستند و برخی دیگر، به‌راحتی شناسایی می‌شوند.

واردل اعتقاد دارد بدافزار جدید مک ابتدا با هدف اجرای ماژول جاسوس‌افزار اجرا می‌شود تا اطلاعات لازم را از سیستم قربانی استخراج کند. در مرحله‌ی آخر، باج‌افزار پر سروصدا اجرا می‌شود تا به‌عنوان تلاش پایانی، از رمزگذاری اطلاعات و دریافت باج، درآمد اضافه‌ای را برای گروه مجرم سایبری فراهم کند. در برخی از آزمایش‌ها، سیستم باج‌افزار به‌راحتی اجرا نشد و فایل‌ها را رمزنگاری نکرد. به‌هرحال به‌نظر می‌رسد با بدافزاری مملو از باگ روبه‌رو هستیم که هدف نهایی توسعه‌دهنده‌های آن نیز مشخص نیست.

باتوجه‌به توزیع بدافزار ازطریق تورنت و اهداف درآمدزایی که برای توسعه‌دهنده‌ها دارد، محققان پیش‌بینی می‌کنند که گروه هکری خراب‌کاری آن را ساخته‌اند و خبری از سازمان‌های جاسوسی دولتی نیست. چنین بدافزارهایی قبلا در ویندوز به دفعات دیده شده‌اند. یکی از خطرناک‌ترین نمونه‌های NotPetya بود که با ظاهر باج‌افزار، فعالیت‌های جاسوسی و استخراج اطلاعات مخربی را انجام داد. درنهایت عملکرد مجرمان سایبری ThiefQuest می‌تواند کسب درآمد از باج‌افزار یا استفاده از آن به‌عنوان ابزاری برای پرت کردن حواس قربانی و جاسوسی اطلاعاتی باشد. به‌هرحال در بدافزارهای مرتبط با مک، همیشه این سؤال مطرح می‌شود که حرکت بعدی مجرمان چیست؟