نسخههای مخرب اصلاحشده برنامههای محبوب که از طریق وبسایت مکآپدیت توزیع شدند بدافزار استخراج ارز دیجیتال را بر روی رایانههای مک نصب میکند.
این مسئله روز جمعه، یک روز پس از آنکه نسخههای مخرب اصلاحشده برنامههای فایرفاکس، OnyX و Deeper از طریق وبسایت مکآپدیت توزیع شدند، مشاهده شد. مکآپدیت بهسرعت این مسئله را تایید و اعلام کرد که این موضوع خطای آنها بوده و برنامههای قانونی به خطر نیفتادهاند.
آنچه که به این وضعیت منجر شد، بسیار ساده است. مکآپدیت بهجای پیوند دادن به وبسایتهای رسمی بارگیری برنامهها به دامنههای جعلی مشابه دامنههای قانونی پیوند داده بود.
بنابراین بهجای وبسایت titanium-software.fr، وبسایت titaniumsoftware.org (ثبت شده در تاریخ ۲۳ ژانویه) برای نشانیهای وب بارگیری OnyX و Deeper (هر دو محصولات ساختهشده توسط نرمافزار تیتانیوم هستند) ثبت شدهبود. پیوند بارگیری فایرفاکس با استفاده از دامنهی download-installer.cdn-mozilla.net، بهجای mozilla.net، حتی فریبندهتر بود.
با این حال، Malwarebytes میگوید که برای این سه برنامه، کاربران پروندههای تصویر دیسک (dmg.) را که بهنظر بسیار قانعکننده بودند، بارگیری کردند. این پروندهها مشابه برنامههای قانونی از کاربر خواستهبودند که پرونده را به پوشه برنامهها بکشند.
این برنامههای جعلی توسط Platypus ایجاد شدهاند که ابزار توسعهدهندهی مورد استفاده برای ساخت نرمافزار سیستمعامل مک از اسکریپتهایی مانند shell یا Python است.
این برنامههای جعلی پس از نصب، یک بارداده از public.adobecc.com (یک وبسایت قانونی متعلق به ادوبی) بارگیری و نصب کرده و پس از آن تلاش میکند یک رونوشت از برنامه قانونی را بهعنوان تله باز کند. با این وجود بهدلیل اشتباهات مختلف عامل ایجادکننده برنامههای جعلی، این عملیات همیشه موفق نیست.
پژوهشگران امنیتی دریافتند که برنامه مخرب OnyX بر روی نسخه سیستم عامل X ۱۰.۷ و بالاتر مک اجرا میشود، اما برنامه تله به نسخه سیستم عامل ۱۰.۱۳ و بالاتر مک نیاز دارد، بدینمعنی که این بدافزار تنها بر روی سامانههایی با نسخههای قدیمی پلتفرم اجرا میشود.
در مورد برنامه جعلی Deeper نیز همه چیز مشابه است، اما دلیل آن خندهدار است. مهاجم، برنامه OnyX را بهجای برنامه Deeper بهعنوان تله بهکار میگیرد که بهوضوح نشان میدهد این تله برای پوشش دادن رفتار مخرب اجرا نمیشود.
بهمحض اجرای برنامه جعلی، یک اسکریپت از آن بررسی میکند که آیا در حال اجراست یا خیر و اگر در حال اجرا نبود، بدافزار را بارگیری کرده و آن را در پوشه کتابخانه که بهطور پیشفرض پنهان است، باز میکند. پرونده راهانداز بدافزار به نام MacOSupdate.plist نصب میشود که برای اجرای یک اسکریپت دیگر بهطور مرتب طراحی شدهاست.
این عامل راهانداز، پرونده جدید MacOS.plist را بارگیری و آن را نصب میکند، اما ابتدا پرونده قبلی MacOS.plist را ظاهرا بهمنظور بهروزرسانی آن حذف میکند. مشاهده شد که پرونده بارگیریشدهی MacOS.plist، یک فرایند مخرب sysmdworker را بارگذاری کرده و از استدلالها، ازجمله یک آدرس رایانامه عبور میکند.
Malwarebytes توضیح میدهد:
فرایند sysmdworker با استفاده از یک ابزار خط فرمان به نام minergate-cli، استخراج ارز مجازی مونرو را انجام داده و با عبور از آدرس رایانامه فوق بهعنوان ورود به سامانه بهطور مداوم به وبسایت minergate.com متصل خواهدشد
بهمنظور مصون ماندن از این بدافزار و تهدیدات مشابه، به کاربران توصیه میشود که همیشه برنامهها را تنها از وبسایتهای قانونی، مانند وبسایت توسعهدهنده یا فروشگاه برنامههای مک بارگیری کنند.
همانطور که Malwarebytes اشاره میکند، این نخستینبار نیست که وبسایت مکآپدیت برای اهداف مخرب مورد بهرهبرداری قرار گرفتهاست. چند سال پیش نیز نفوذ مشابهی صورت گرفته و به توزیع بدافزار OSX.Eleanor منجر شدهبود.
در این باره بیشتر بخوانید:
- بدافزاری که آنتی ویروس جلودار آن نیست!
- افزایش حملات به زیرساختهای ابری برای استخراج غیرقانونی ارز دیجیتال
- گزارش جنجالی: بدافزار جدید استخراج ارزهای دیجیتال از ابزارهای آژانس امنیت ملی استفاده میکند!
- بدافزار جدید استخراج ارزهای دیجیتال/ DoublePulsar به شرکتهای آسیایی حمله میکند
- نفوذ به ابرکامپیوترهای اروپایی؛ استخراج ارز دیجیتال به جای تحقیق بر روی کرونا!
- حضور Nvidia در دادگاه برای پاسخگویی به شکایت ماینرها