پژوهشگران تیم Unit 42 شرکت Palo Alto Networks یک کمپین کلیکفیکس (ClickFix) جدید را شناسایی کردهاند که کاربران مکاواس (macOS) را هدف قرار میدهد. در این کمپین کلیکفیکس، مهاجمان با سوءاستفاده از دستورات مخرب در ترمینال (Terminal)، فایلهای ایمیج دیسک (Disk Image) با فرمت DMG را بهصورت مخفیانه دانلود کرده و در نهایت بدافزار رباینده اطلاعات (Infostealer) را روی دستگاه قربانی اجرا میکنند.
ماهیت حمله و روش نفوذ
در این کمپین کلیکفیکس، مهاجمان با استفاده از مهندسی اجتماعی (Social Engineering)، صفحهای جعلی برای کپچا (CAPTCHA) نمایش میدهند و از کاربر میخواهند برای تکمیل فرآیند ظاهری احراز هویت، برنامه ترمینال را باز کرده و دستور نمایشدادهشده را اجرا کند.
پس از اجرای دستور، فایل DMG از سرور تحت کنترل مهاجم دانلود میشود و سپس با استفاده از ابزار hdiutil، بدون نمایش در Finder یا روی دسکتاپ، بهصورت مخفیانه در سیستم بارگذاری میشود و بسته نرمافزاری موجود در آن بهصورت خودکار اجرا میگردد.
کلیکفیکس یکی از روشهای مهندسی اجتماعی است که مهاجمان در آن با نمایش کپچاهای جعلی، پیامهای خطای مرورگر یا هشدارهای ساختگی، کاربران را به اجرای دستورهای مخرب ترغیب میکنند. اگرچه استفاده از فایلهای DMG در این حملات موضوع جدیدی نیست، اما در این نمونه، تمامی مراحل دانلود و اجرای بدافزار تنها با اجرای یک دستور در ترمینال انجام میشود و نیاز به باز کردن دستی فایل توسط کاربر وجود ندارد.
جزئیات فنی اجرای پیلود در کمپین کلیکفیکس
پس از اجرای دستور در ترمینال (Terminal)، فایل مخرب DMG با استفاده از ابزار curl و فلگهای -fsSL از دامنه svs-verificationdate[.]beer دانلود شده و در مسیر /tmp با نامی تصادفی ذخیره میشود.
سپس دستور hdiutil attach -nobrowse اجرا شده و فایل بدون نمایش در Finder یا دسکتاپ در اختیار سیستم قرار میگیرد.
پس از آن اسکریپت تا سه سطح از دایرکتوریها را جستجو میکند و نخستین فایل اجرایی (.app) یا بسته نصب (.pkg ) را شناسایی کرده و با استفاده از دستور open در مکاواس اجرا میکند.
پژوهشگران دریافتند که این بدافزار در قالب یک فایل ایمیج دیسک با نام s.01M0td.dmg توزیع میشود. این فایل پس از بارگذاری، یک حجم ذخیرهسازی (Volume) را در اختیار سیستم قرار میدهد که حاوی بسته نرمافزاری با نام NNApp.app است و با یک گواهی خودامضا (Self-Signed Certificate) امضا شده است.
سرقت اطلاعات توسط بدافزار AMOS
پیلود نهایی مورد استفاده در این کمپین کلیکفیکس، یک بدافزار رباینده اطلاعات Atomic macOS Stealer (AMOS) است. این بدافزار با هدف سرقت طیف گستردهای از اطلاعات حساس، دادههایی مانند اطلاعات احراز هویت مرورگرها، اطلاعات کیف پولهای رمزارزی، دادههای Apple Keychain، اطلاعات برنامههای پیامرسان و اسناد شخصی کاربران را جمعآوری میکند.
AMOS پس از اجرا، یک پنجره جعلی احراز هویت تنظیمات سیستم (System Preferences) را نمایش میدهد و از کاربر میخواهد رمز عبور مکاواس خود را وارد کند. در صورت وارد شدن این رمز، بدافزار آن را نیز سرقت کرده و به مجموعه اطلاعات جمعآوریشده اضافه میکند.
اهداف بدافزار رباینده اطلاعات در کمپین کلیکفیکس
به گفته پژوهشگران، این بدافزار هشت مرورگر مبتنی بر کرومیوم (Chromium) شامل Google Chrome، Microsoft Edge، Brave، Opera، Arc، Vivaldi، CocCoc و Yandex را هدف قرار میدهد و اطلاعاتی مانند کوکیها، پایگاهدادههای ورود، اطلاعات تکمیل خودکار فرمها، کارتهای پرداخت ذخیرهشده و دادههای پروفایل مرورگر را سرقت میکند.
همچنین این بدافزار رباینده اطلاعات مرورگرهای مبتنی بر فایرفاکس از جمله LibreWolf، SeaMonkey، Tor Browser، Waterfox و Zen Browser را نیز هدف قرار میدهد و همان اطلاعات حساس را از آنها استخراج میکند.
بر اساس اعلام Palo Alto Networks، این بدافزار علاوه بر مرورگرها، دادههای مربوط به کیف پولهای رمزارزی را نیز سرقت میکند. از جمله کیف پولهای هدف این بدافزار میتوان به Exodus، Electrum، Atomic Wallet، Wasabi Wallet، Bitcoin Core، Litecoin Core، DashCore، Guarda، Binance Wallet، Dogecoin Wallet و TonKeeper اشاره کرد.
همچنین بدافزار اطلاعات تلگرام دسکتاپ و دیسکورد (Discord)، پایگاهدادههای Apple Notes، کوکیهای سافاری (Safari)، فایلهای پایگاهداده Apple Keychain و اسناد کاربران با پسوندهای PDF، TXT و RTF را نیز سرقت میکند.
در این کمپین کلیکفیکس تمامی دادههای جمعآوریشده پس از سرقت، در یک آرشیو ZIP ذخیره شده و به سرور مهاجم ارسال میشوند تا در ادامه مهاجم بتواند به آنها دسترسی پیدا کرده و اطلاعات را بازیابی کند.
جایگزینی کیف پولهای رمزارزی و توصیههای امنیتی
همچنین پژوهشگران دریافتند این بدافزار نسخههای قانونی Ledger Live و Trezor Suite را با نسخههای آلوده جایگزین میکند؛ اقدامی که احتمالاً با هدف سرقت داراییهای رمزارزی انجام میشود.
بررسیها نشان میدهد این کمپین کلیکفیکس از سرورهای فرماندهی و کنترل (C2) با آدرسهای svs-verificationdate[.]beer و 196.251.107[.]171 استفاده میکند.
پژوهشگران توصیه میکنند کاربران در مواجهه با وبسایتهایی که از آنها میخواهند برنامه ترمینال را باز کرده و دستوری را اجرا کنند، نهایت احتیاط را به خرج دهند. این موضوع بهویژه زمانی اهمیت بیشتری پیدا میکند که چنین درخواستهایی در قالب تأیید کپچا، رفع خطاهای مرورگر یا سایر دستورالعملهای فنی ارائه شوند.
بهطور کلی، پیش از اجرای هر دستور، مطمئن شوید دقیقاً از عملکرد آن آگاه هستید؛ در غیر این صورت، از اجرای آن خودداری کنید.