خانه » کمپین کلیک‌فیکس جدید در مک‌اواس از فایل‌های DMG برای توزیع بدافزار رباینده اطلاعات استفاده می‌کند

کمپین کلیک‌فیکس جدید در مک‌اواس از فایل‌های DMG برای توزیع بدافزار رباینده اطلاعات استفاده می‌کند

توسط Vulnerbyte_News
25 بازدید

پژوهشگران تیم Unit 42 شرکت Palo Alto Networks یک کمپین کلیک‌فیکس (ClickFix) جدید را شناسایی کرده‌اند که کاربران مک‌اواس (macOS) را هدف قرار می‌دهد. در این کمپین کلیک‌فیکس، مهاجمان با سوءاستفاده از دستورات مخرب در ترمینال (Terminal)، فایل‌های ایمیج دیسک (Disk Image) با فرمت DMG را به‌صورت مخفیانه دانلود کرده و در نهایت بدافزار رباینده اطلاعات (Infostealer) را روی دستگاه قربانی اجرا می‌کنند.

ماهیت حمله و روش نفوذ

در این کمپین کلیک‌فیکس، مهاجمان با استفاده از مهندسی اجتماعی (Social Engineering)، صفحه‌ای جعلی برای کپچا (CAPTCHA) نمایش می‌دهند و از کاربر می‌خواهند برای تکمیل فرآیند ظاهری احراز هویت، برنامه ترمینال را باز کرده و دستور نمایش‌داده‌شده را اجرا کند.

پس از اجرای دستور، فایل DMG از سرور تحت کنترل مهاجم دانلود می‌شود و سپس با استفاده از ابزار hdiutil، بدون نمایش در Finder یا روی دسکتاپ، به‌صورت مخفیانه در سیستم بارگذاری می‌شود و بسته نرم‌افزاری موجود در آن به‌صورت خودکار اجرا می‌گردد.

کلیک‌فیکس یکی از روش‌های مهندسی اجتماعی است که مهاجمان در آن با نمایش کپچاهای جعلی، پیام‌های خطای مرورگر یا هشدارهای ساختگی، کاربران را به اجرای دستورهای مخرب ترغیب می‌کنند. اگرچه استفاده از فایل‌های DMG در این حملات موضوع جدیدی نیست، اما در این نمونه، تمامی مراحل دانلود و اجرای بدافزار تنها با اجرای یک دستور در ترمینال انجام می‌شود و نیاز به باز کردن دستی فایل توسط کاربر وجود ندارد.

کمپین کلیک‌فیکس
دستور مخرب ترمینال مورد استفاده در فرآیند جعلی تأیید کپچا

جزئیات فنی اجرای پیلود در کمپین کلیک‌فیکس

پس از اجرای دستور در ترمینال (Terminal)، فایل مخرب DMG با استفاده از ابزار curl و فلگ‌های -fsSL از دامنه svs-verificationdate[.]beer دانلود شده و در مسیر /tmp با نامی تصادفی ذخیره می‌شود.

سپس دستور hdiutil attach -nobrowse اجرا شده و فایل بدون نمایش در Finder یا دسکتاپ در اختیار سیستم قرار می‌گیرد.

پس از آن اسکریپت تا سه سطح از دایرکتوری‌ها را جستجو می‌کند و نخستین فایل اجرایی (.app) یا بسته نصب (.pkg ) را شناسایی کرده و با استفاده از دستور open در مک‌اواس اجرا می‌کند.

پژوهشگران دریافتند که این بدافزار در قالب یک فایل ایمیج دیسک با نام s.01M0td.dmg توزیع می‌شود. این فایل پس از بارگذاری، یک حجم ذخیره‌سازی (Volume) را در اختیار سیستم قرار می‌دهد که حاوی بسته نرم‌افزاری با نام NNApp.app است و با یک گواهی خودامضا (Self-Signed Certificate) امضا شده است.

سرقت اطلاعات توسط بدافزار AMOS

پیلود نهایی مورد استفاده در این کمپین کلیک‌فیکس، یک بدافزار رباینده اطلاعات Atomic macOS Stealer (AMOS) است. این بدافزار با هدف سرقت طیف گسترده‌ای از اطلاعات حساس، داده‌هایی مانند اطلاعات احراز هویت مرورگرها، اطلاعات کیف پول‌های رمزارزی، داده‌های Apple Keychain، اطلاعات برنامه‌های پیام‌رسان و اسناد شخصی کاربران را جمع‌آوری می‌کند.

AMOS پس از اجرا، یک پنجره جعلی احراز هویت تنظیمات سیستم (System Preferences) را نمایش می‌دهد و از کاربر می‌خواهد رمز عبور مک‌اواس خود را وارد کند. در صورت وارد شدن این رمز، بدافزار آن را نیز سرقت کرده و به مجموعه اطلاعات جمع‌آوری‌شده اضافه می‌کند.

کمپین کلیک‌فیکس
روند اجرای حمله بدافزار رباینده اطلاعات

اهداف بدافزار رباینده اطلاعات در کمپین کلیک‌فیکس

به گفته پژوهشگران، این بدافزار هشت مرورگر مبتنی بر کرومیوم (Chromium) شامل Google Chrome، Microsoft Edge، Brave، Opera، Arc، Vivaldi، CocCoc و Yandex را هدف قرار می‌دهد و اطلاعاتی مانند کوکی‌ها، پایگاه‌داده‌های ورود، اطلاعات تکمیل خودکار فرم‌ها، کارت‌های پرداخت ذخیره‌شده و داده‌های پروفایل مرورگر را سرقت می‌کند.

همچنین این بدافزار رباینده اطلاعات مرورگرهای مبتنی بر فایرفاکس از جمله LibreWolf، SeaMonkey، Tor Browser، Waterfox و Zen Browser را نیز هدف قرار می‌دهد و همان اطلاعات حساس را از آن‌ها استخراج می‌کند.

بر اساس اعلام Palo Alto Networks، این بدافزار علاوه بر مرورگرها، داده‌های مربوط به کیف پول‌های رمزارزی  را نیز سرقت می‌کند. از جمله کیف پول‌های هدف این بدافزار می‌توان به Exodus، Electrum، Atomic Wallet، Wasabi Wallet، Bitcoin Core، Litecoin Core، DashCore، Guarda، Binance Wallet، Dogecoin Wallet و TonKeeper اشاره کرد.

همچنین بدافزار اطلاعات تلگرام دسکتاپ و دیسکورد (Discord)، پایگاه‌داده‌های Apple Notes، کوکی‌های سافاری (Safari)، فایل‌های پایگاه‌داده Apple Keychain و اسناد کاربران با پسوندهای PDF، TXT و RTF را نیز سرقت می‌کند.

در این کمپین کلیک‌فیکس تمامی داده‌های جمع‌آوری‌شده پس از سرقت، در یک آرشیو ZIP ذخیره شده و به سرور مهاجم ارسال می‌شوند تا در ادامه مهاجم بتواند به آن‌ها دسترسی پیدا کرده و اطلاعات را بازیابی کند.

جایگزینی کیف پول‌های رمزارزی و توصیه‌های امنیتی

همچنین پژوهشگران دریافتند این بدافزار نسخه‌های قانونی Ledger Live و Trezor Suite را با نسخه‌های آلوده جایگزین می‌کند؛ اقدامی که احتمالاً با هدف سرقت دارایی‌های رمزارزی انجام می‌شود.

بررسی‌ها نشان می‌دهد این کمپین کلیک‌فیکس از سرورهای فرماندهی و کنترل (C2) با آدرس‌های svs-verificationdate[.]beer و 196.251.107[.]171 استفاده می‌کند.

پژوهشگران توصیه می‌کنند کاربران در مواجهه با وب‌سایت‌هایی که از آن‌ها می‌خواهند برنامه ترمینال را باز کرده و دستوری را اجرا کنند، نهایت احتیاط را به خرج دهند. این موضوع به‌ویژه زمانی اهمیت بیشتری پیدا می‌کند که چنین درخواست‌هایی در قالب تأیید کپچا، رفع خطاهای مرورگر یا سایر دستورالعمل‌های فنی ارائه شوند.

به‌طور کلی، پیش از اجرای هر دستور، مطمئن شوید دقیقاً از عملکرد آن آگاه هستید؛ در غیر این صورت، از اجرای آن خودداری کنید.

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید