بدافزار جدید هکرهای ایرانی کامپیوترهای مک فعالین حقوق بشر را هدف قرار میدهد
کالین اندرسون محقق امنیت اینترنت به کمپین حقوق بشر در ایران گفت هکرهای ایرانی بدافزار جدیدی را طراحی کردند که سیستم عاملهای مک را هدف قرار میدهد. این اولین نمونه از بدافزارهایی است که توسط هکرهای دولتی ایران برای حمله به سیستمعامل رایانههای مک استفاده میشود. تا پیش از این یافته جدید، عمدتا بدافزارهایی که توسط آنها ساخته میشد سیستمعاملهای ویندوز و اندروید را هدف قرار میداد.
کالین اندرسون که به همراه همکار خودش این بدافزار را شناسایی کرده است، در پاسخ به این سوال کمپین که تا چه میزان این بدافزار جدید را باید جدی گرفت گفت: «این بدافزار از نظر فنی چندان در سطح بالایی طراحی نشده است، اما طراحی یک بدافزار برای کامپیوترهای مک نشان از آن دارد که گروههای ایرانی در حال پاسخ دادن به شرایط زمان خود هستند. نگرانی من این است که افراد زیادی به دلیل آنکه مک را امن میدانند، از ویندوز به این سیستم عامل مهاجرت کردند، درحالی که توجه ندارند مهاجرت از یک سیستم عامل به سیستم عامل دیگر به خودی خود باعث ارتقای امنت آنها نمیشود. بنابراین هشداری است به کاربران مک که بدانند آنها نیز مورد هدف قرار گرفتهاند.»
بر اساس گزارش وبسایت تهدیدهای ایران که متمرکز بر تجزیه و تحلیل حملههای هکرهای حکومتی ایران است، این بدافزار پیش از این زیرساختهای صنایع را هدف قرار میداد و اخیرا کامپیوترهای فعالین حقوق بشر ایرانی را نیز هدف گرفته است.
این بدافزار که MacDownloader نام دارد، با به سرقت بردن رمز کامپیوتر کاربر، صفحهای جعلی را ایجاد و نمایش میدهد تا کاربر را فریب داده و رمز ورود به رایانه او را دریافت کند. همچنین خود را در دو قالب فایل جعلی نصب برنامه فلش(Flash Player) و حذف کننده تبلیغات آنتیویروس بیت دیفندر(Bitdefender Adware Removal Tool) معرفی میکند، پس از نصب توسط قربانی در کامپیوتر خود را پنهان میکند و پس از آن اقدام به تهیه کپی از بانک اطلاعاتی برنامه Keychain Access میکند.
Keychain Access برنامهای در سیستم عامل مک است که به کاربر امکان ذخیره سازی اطلاعاتی مانند رمز ایمیلها، وبسایتها، اتصالهای وایفای، منابع سختافزاری و نرمافزاری که در شبکه به اشتراک گذاشته شده است و همچنین نسخههای پشتیبان رمزگذاری شده از حافظه رایانه (Encrypted disk images) را میدهد. به این ترتیب با تهیه کپی از بانک اطلاعاتی این برنامه هکرها عملا به بخش بسیار زیادی از اطلاعات آنلاین و آفلاین قربانی خود دسترسی خواهند داشت.
به گفته کالین اندرسون، یکی از محققهایی که این بدافزار را شناسایی کرده است، «تعداد اندکی» با این نسخه از بدافزار آلوده شدهاند:«نسخهی از این بدافزار که برای سیستم عامل ویندوز طراحی شده است که از سرورهای همین نسخه مک استفاده میکند، تعداد کمی از کاربران ایرانی در داخل و خارج از ایران را الوده کرده است. ما تصمیم گرفتیم که این گزارش را سریعتر منتشر کنیم تا با اثر گذاشتن بر روی رفتار هکرها و کاربران ایرانی مانع از آلوده شدن افراد بیشتری شویم. هدف اصلی ما آموزش کاربرانی است که پتاسنیل هدف قرار گرفتن را دارند.»
اندرسون همچنین در مورد روشهایی که کاربران میتوانند از خود در برابر این بدافزار محافظت کنند به کمپین گفت: «راه حل سادهای وجود ندارد اما بهترین کاری که کاربران میتوانند بکنند این است که مراقب نرمافزارهایی که دانلود میکنند باشند و همچنین در مورد ایمیلهایی که دریافت میکنند با احتیاط عمل کنند. همانطوری که در گزارش نشان دادیم برنامههای ضد ویروس به طور معمول بخشی از بدافزار را تشخیص میدهند و تحت عنوان “مشکوک” آن را علامت گذاری میکنند. به دلیل آنکه که بخش کوچکی از جمعیت کاربران ایرانی با این بدافزار هدف گرفته شدهاند، میزان شناسایی این بدافزار توسط ضدویروسها پایین است. در مواردی از این داشتن یک ضدویروس به تنهایی برای محافظ در برابر بدافزارها کافی نیست.»