بدافزار CloudMensis با دور زدن سیستم امنیتی macOS میتواند به تمام سیستم نفوذ کند
بدافزار جدیدی کشف شده که مخصوص سیستمهای مک طراحی شده است و میتواند به سستمها نفوذ کند و دادههای حساس را بهسرقت ببرد.
جزئیات شناسایی این بدافزار توسط شرکت امنیت اینترنتی ESET دردسترس قرار گرفت. این شرکت بدافزار را بهدلیل وابستگی آن به خدمات ذخیرهسازی ابری CloudMensis نامیدند.
براساس گزارشی که بلیپینگ کامپیوتر آن را بهاشتراک گذاشت، بدافزار CloudMensis میتواند با موفقیت کامل و بدون اطلاع کاربر، اسکرینشات بگیرد؛ علاوهبراین، امکان ذخیرهی ضربههای واردشده به کلیدها، دراختیار گرفتن فایلها و اسناد (حتی از درون دستگاههای ذخیرهسازی قابلحمل) و فهرستکردن پیامها و فایلهای ضمیمه ایمیل را برای مهاجم فراهم میکند.
بدافزار CloudMensis دراصل در آوریل ۲۰۲۲ میلادی (فروردین ۱۴۰۱ شمسی) توسط ESET شناسایی شد. این بدافزار با هدف اجرای کانال فرمان و کنترل (C2) از pCloud Yandex Disk و Dropbox استفاده میکند.
بدافزار کشفشده نسبتاً پیشرفته است، بهطوری که قادر به اجرای فرمانهای مخرب متعددی مانند نمایش پردازشهای درحال اجرا، اجرای فرمانهای Shell و آپلود خروجی در فضای ابری ذخیرهسازی و دانلود و بازکردن فایلهای دلخواه، است.
با توجه به اینکه CloudMensis بهتازگی کشف شده، هویت افرادی که در پسِ پردهی حملات این بدافزار هستند، همچنان ناشناس مانده است.
مارک اتین لِویه، محقق امنیتی در شرکت ESET در این رابطه توضیح داد:
هنوز نمیدانیم که CloudMensis چگونه توزیع شده است و اینکه هدف این بدافزار دقیقاً چه کسانی خواهد بود. کیفیت کلی کدهای بدافزار و عدم وجود مبهمسازی کدها (مشوّش کردن عمدی کدها برای ایجاد دشواری در درک آنها) نشان میدهد که برنامهنویسی بدافزار توسط فردی انجام شده که احتمالاً با توسعه برای محیط مک آشنایی ندارد و خیلی پیشرفته نیست. بااین حال، منابع زیادی برای تبدیل CloudMensis به یک ابزار قدرتمند جاسوسی بهکار گرفته شده و قطعاً تهدید جدی برای اهداف بالقوه خواهد بود.
تحلیلهای ایسِت نشان میدهد که اجراکنندههای بدافزار توانستند در تاریخ ۴ فوریه ۲۰۲۲ میلادی (۱۵ بهمن ۱۴۰۰) به اولین هدف مک خود نفوذ کنند. نکتهی جالب این است که بدافزار CloudMensis چندین بار برای آلوده کردن یک هدف مورد استفاده قرار گرفته است. علاوهبراین، توانایی برنامهنویسی با زبان آبجکتیو-سی هکرها حکایت از آن دارد که خیلی با پلتفرم مکاواس آشنایی ندارند.
زمانی که محققان شرکت ESET، آدرسهای فضای ابری ذخیرهسازی مرتبط با بدافزار CloudMensis را بررسی کردند، اَبَردادههای (متادیتا) مربوطه از درایوهای ابری مشخص کردند که از تاریخ ۴ فوریه تا آوریل ۲۰۲۲ (فروردین ۱۴۰۱) درمجموع ۵۱ قربانی مورد حمله قرار گرفتند.
بهمحض اینکه بدافزار روی سیستم مک اجرا میشود، CloudMensis میتواند بهطور کامل در بخش رضایت و کنترل شفافیت (Transparency Consent and Control) سیستمعامل مکاواس اپل بهصورت کاملاً ناشناس نفوذ کند. این ویژگی به کاربر هشدار میدهد که برخی اپلیکیشنها درخواست مجوز عکسبرداری از صفحه و نظارت بر کلیدهای کیبورد را دارند.
بنابراین، CloudMensis با جلوگیری از نمایش آن TCC، میتواند متعاقباً عکسهای صفحهی مک و فعالیتهای مرتبط را مشاهده کند و حتی دستگاههای ذخیرهسازی قابل جابهجایی را نیز اسکن کند.
در هر صورت، با توجه به اینکه بدافزار میتواند به این راحتی اقدامات امنیتی مک را دور بزند، قطعاً پیچیدگیهای خاص خود را دارد و نباید گول سادگی آن را خورد.
افزونبراین، فقط سیستمهای مک نیستند که درمعرض خطر قرار دارند، پیسیمگ نشان میدهد که چگونه کدهای برنامهنویسیشده در بدافزار تأیید میکند که توانایی نفوذ به سیستمهای مجهز به اینتل را نیز دارد.
کارشناسان ESET درنهایت گفتند:
بدافزار CloudMensis تهدیدی برای کاربران مک است؛ اما توزیع محدود آن نشان میدهد که این بدافزار در راستای یک عملیات هدفمند مورد استفاده قرار گرفته است. درحالحاضر، هنوز در طول تحقیقات هیچ آسیبپذیری کشفنشدهای (حمله روز صفر) پیدا نکردهایم که توسط این گروه مورد سوءاستفاده قرار گرفته باشد. بنابراین، بهروزرسانی مک حتماً توصیه میشود تا حداقل از دور زدن ایستگاههای امنیتی پیشفرض جلوگیری شود.
دیدگاه شما کاربران زومیت در رابطه با بدافزار CloudMensis چیست؟ آیا میتوان گفت با توجه به تعداد کم اهداف و فرایند پیچیدهای که اجرا میکند، شیوهی ساده کدنویسی آن جنبهی انحرافی دارد؟