به گزارش شرکت مهندسی شبکه گستر، دو محقق امنیتی در مقالهای از انتشار بدافزاری خبر دادهاند که دستگاههای با سیستم عامل Windows یا macOS را در صنعت دفاعی آمریکا هدف قرار داده است. این محققان بدافزار مذکور را محصول ایران میدانند.
بدافزار بررسی شده که با نام MacDownloader شناخته میشود بر روی سایتی که نام و نشان یک شرکت فضانوردی آمریکایی با عنوان United Technologies را جعل کرده کشف شده است.
از این سایت جعلی پیشتر نیز برای اجرای حملات Phishing و انتشار بدافزار تحت سیستم عامل Windows استفاده شده بود.
این محققان ادعا میکنند که این سایت توسط هکرهای ایرانی مدیریت میشود.
بازدیدکنندگان از این سایت با صفحهای روبرو میشوند که در ظاهر در آن برنامهها و دورههای ویژه کارکنان شرکتهای معروف هوافضای آمریکایی نظیر Lockheed Martin،وRaytheon و Boeing به رایگان قابل دریافت است.
در صفحه مذکور در کادری مشابه افزونههای Adobe Flash به زبان فرانسوی گفته میشود که افزونه دارای اشکالات امنیتی است. در زیر آن نیز لینکی قرار دارد که در آن از کابر خواسته میشود تا با کلیک بر روی آن Adobe Flash را فعال کند.
در صورت کلیک کاربر بر روی لینک مذکور، بر اساس سیستم عامل دستگاه، نسخه تحت سیستم عامل Windows یا macOS بر روی دستگاه قربانی دانلود میشود. فایل دریافت شده بر روی دستگاه با سیستم عامل macOS در برخی نمونهها addone flashplayer.app و در برخی دیگر Bitdefender Adware Removal Tool نام دارد که با اجرای آن دستگاه آلوده میشود. این محققان وجود نویسه e پس از کلمه addon را نشانهای دیگر از فارسی زبان بودن نویسنده یا نویسندگان بدافزار میدانند.
بدافزار در دستگاه با سیستم عامل macOS با نمایش پنجرههای دروغین ورود به سیستم و سرقت بانکهای داده Apple Keychain اطلاعات اصالتسنجی قربانی را جمعآوری کرده و در ادامه آنها را به سرور فرماندهی بدافزار ارسال میکند.
به گزارش شرکت مهندسی شبکه گستر، این محققان این بدافزار را محصول کار یک برنامهنویس آماتور دانستهاند. ضمن اینکه وجود اشکالات تایپی و گرامری در پیامهای نمایش داده شده را نشانهای از عدم اعمال روالی برای کنترل کیفیت در زمان برنامهنویسی آن معرفی کردهاند.
همچنین یک از قابلیتهای در نظر گرفته شده توسط نویسنده یا نویسندگان این بدافزار امکان دانلود فایلهای مخرب دیگر بر روی دستگاه macOS آلوده شده است. قابلیتی که حداقل در نسخه بررسی شده توسط این محققان به طور صحیح عمل نمیکند.
با این حال، همانطور که این محققان اشاره کردهاند در زمان بررسی، بدافزار توسط هیچ یک از محصولات ضدویروس قابل شناسایی نبوده. در زمان نگارش این خبر نیز تنها تعداد محدودی از نرمافزارهای ضدویروس قادر به شناسایی آن شدهاند. موضوعی که آماتور بودن نویسنده را بشدت نقض میکند.
این دو محقق، در جریان بررسیها به دو شبکه بیسیم با نامهای Jok3r و mb_1986 رسیدهاند. به این نامها پیشتر نیز در چندین حمله سایبری که اجراکنندگان آن نفوذگران ایرانی معرفی شده بودند اشاره شده بود.
مشروح گزارش بررسی این محققان در اینجا قابل مطالعه است.