صنعت دفاعی آمریکا هدف بدافزاری جدید؛ کاشفان آن: بدافزار کار ایران است

به گزارش شرکت مهندسی شبکه گستر، دو محقق امنیتی در مقاله‌ای از انتشار بدافزاری خبر داده‌اند که دستگاه‌های با سیستم عامل Windows یا macOS را در صنعت دفاعی آمریکا هدف قرار داده است. این محققان بدافزار مذکور را محصول ایران می‌دانند.

بدافزار بررسی شده که با نام MacDownloader شناخته می‌شود بر روی سایتی که نام و نشان یک شرکت فضانوردی آمریکایی با عنوان United Technologies را جعل کرده کشف شده است.

از این سایت جعلی پیش‌تر نیز برای اجرای حملات Phishing و انتشار بدافزار تحت سیستم عامل Windows استفاده شده بود. 

 این محققان ادعا می‌کنند که این سایت توسط هکرهای ایرانی مدیریت می‌شود.

بازدیدکنندگان از این سایت با صفحه‌ای روبرو می‌شوند که در ظاهر در آن برنامه‌ها و دوره‌های ویژه کارکنان شرکت‌های معروف هوافضای آمریکایی نظیر Lockheed Martin،وRaytheon و Boeing به رایگان قابل دریافت است.

در صفحه مذکور در کادری مشابه افزونه‌های Adobe Flash به زبان فرانسوی گفته می‌شود که افزونه دارای اشکالات امنیتی است. در زیر آن نیز لینکی قرار دارد که در آن از کابر خواسته می‌شود تا با کلیک بر روی آن Adobe Flash را فعال کند.

در صورت کلیک کاربر بر روی لینک مذکور، بر اساس سیستم عامل دستگاه، نسخه تحت سیستم عامل Windows یا macOS بر روی دستگاه قربانی دانلود می‌شود. فایل دریافت شده بر روی دستگاه با سیستم عامل macOS در برخی نمونه‌ها addone flashplayer.app و در برخی دیگر Bitdefender Adware Removal Tool نام دارد که با اجرای آن دستگاه آلوده می‌شود. این محققان وجود نویسه e پس از کلمه addon را نشانه‌ای دیگر از فارسی زبان بودن نویسنده یا نویسندگان بدافزار می‌دانند.

بدافزار در دستگاه با سیستم عامل macOS با نمایش پنجره‌های دروغین ورود به سیستم و سرقت بانک‌های داده Apple Keychain اطلاعات اصالت‌سنجی قربانی را جمع‌آوری کرده و در ادامه آنها را به سرور فرماندهی بدافزار ارسال می‌کند.

به گزارش شرکت مهندسی شبکه گستر، این محققان این بدافزار را محصول کار یک برنامه‌نویس آماتور دانسته‌اند. ضمن اینکه وجود اشکالات تایپی و گرامری در پیام‌های نمایش داده شده را نشانه‌ای از عدم اعمال روالی برای کنترل کیفیت در زمان برنامه‌نویسی آن معرفی کرده‌اند.

همچنین یک از قابلیت‌های در نظر گرفته شده توسط نویسنده یا نویسندگان این بدافزار امکان دانلود فایل‌های مخرب دیگر بر روی دستگاه macOS آلوده شده است. قابلیتی که حداقل در نسخه بررسی شده توسط این محققان به طور صحیح عمل نمی‌کند.

با این حال، همانطور که این محققان اشاره کرده‌اند در زمان بررسی، بدافزار توسط هیچ یک از محصولات ضدویروس قابل شناسایی نبوده. در زمان نگارش این خبر نیز تنها تعداد محدودی از نرم‌افزارهای ضدویروس قادر به شناسایی آن شده‌اند. موضوعی که آماتور بودن نویسنده را بشدت نقض می‌کند.

این دو محقق، در جریان بررسی‌ها به دو شبکه بی‌سیم با نام‌های Jok3r و mb_1986 رسیده‌اند. به این نام‌ها پیش‌تر نیز در چندین حمله سایبری که اجراکنندگان آن نفوذگران ایرانی معرفی شده بودند اشاره شده بود.

مشروح گزارش بررسی این محققان در اینجا قابل مطالعه است.