در دنیای امنیت سایبری، شناسایی بدافزار Reaper به عنوان یک تهدید جدی برای کاربران macOS زنگ خطری تازه به صدا درآورده است. بدافزار Reaper که به تازگی توسط تیم تحقیقاتی SentinelLABS شناسایی شده است، با تکیه بر تکنیکهای فریبنده، امنیت سیستمعاملهای بهروزرسانی شده را به چالش کشیده و اقدام به سرقت اطلاعات کاربران میکند.
مکانیزم عملکرد و دور زدن لایههای امنیتی توسط بدافزار Reaper
طبق اعلام تیم SentinelLABS، این تهدید در واقع گونهای جدید از بدافزار سرقتکننده اطلاعات (Infostealer) موسوم به SHub است. با وجود اینکه اپل در نسخهی macOS Tahoe 26.4 تدابیر امنیتی خود را تقویت کرده، اما بدافزار Reaper با بهرهگیری از مسیرهای جایگزین و تکنیکهای پیچیده، مکانیزمهای دفاعی سیستم را به طور کامل دور میزند. این بدافزار با تغییر استراتژی، مستقیماً زیرساختهای مورد اعتماد کاربر را هدف قرار داده است.
نحوه نفوذ و اجرای پیلود
فرآیند حمله با استفاده از دامنههای جعلی دارای خطای تایپی (typo-squatted) نظیر mlcrosoft.co.com آغاز میشود تا صفحات دانلود نرمافزارهای محبوبی مانند WeChat و Miro، کاملاً معتبر به نظر برسند.
- بررسی محیط هدف: در این مرحله، کدهای جاوااسکریپت مخفی در وبسایت، سیستم کاربر را از نظر وجود ابزارهای امنیتی و موقعیت جغرافیایی تحلیل میکنند. حمله تنها در صورتی انجام میشود که کاربر خارج از روسیه باشد.
- استفاده از Script Editor: پس از احراز شرایط توسط بدافزار Reaper، کاربر به باز کردن ابزار داخلی Script Editor در Mac ترغیب میشود. در اینجا، دستورات مخرب با استفاده از متون ASCII و خطوط خالی پنهان شدهاند تا از دید کاربر دور بمانند.
- اجرای پیلود: با کلیک کاربر روی گزینه «Run»، یک پیام جعلی تحت عنوان بهروزرسانی امنیتی رسمی اپل (مربوط به XProtectRemediator) نمایش داده میشود که در واقع فرآیند دانلود فایلهای مخرب را با ابزار curl آغاز میکند.
فرآیند سرقت اطلاعات و ایجاد بکدور پایدار
بدافزار Reaper پس از اجرای موفقیتآمیز، با نمایش یک پاپآپ جعلی، کاربر را به وارد کردن رمز عبور سیستم ترغیب میکند. این بدافزار پس از دریافت دسترسی، شروع به استخراج دادهها از مرورگرهای محبوب (مانند Chrome، Firefox، Brave و…) و مدیریتکنندههای رمز عبور کرده و حتی کیفپولهای رمزارزی واقعی را با نسخههای جعلی برای نظارت بر فعالیتهای آتی کاربر جایگزین میکند.
ویژگیهای پیشرفته در بدافزار Reaper
بدافزار Reaper علاوه بر سرقت اعتبارنامهها، شامل ماژولهای پیشرفتهتری است:
- Filegrabberبه سبک AMOS: بدافزار Reaper فایلهای حساس موجود در Desktop و Documents را جستجو و جمعآوری میکند. تمرکز اصلی آن روی اسناد مالی و تجاری زیر 2 مگابایت و تصاویر در بازه 6 تا 150 مگابایت است.
- تقسیمبندی(Chunking) فایلها: این بدافزار در صورت حجم بالای داده، از تکنیک chunking برای تقسیم فایلها به قطعات 70 مگابایتی استفاده کرده و آنها را به سرور فرماندهی و کنترل (C2) مهاجمان ارسال میکند.
- ایجاد بکدور: نگرانکنندهترین بخش بدافزار ایجاد یک بکدور پایدار است. این بدافزار با ساخت یک مسیر مخفی مشابه بهروزرسانی امنیتی گوگل، در سیستم پنهان میماند و هر 60 ثانیه با سرور C2 ارتباط برقرار میکند. در صورت دریافت دستور، امکان اجرای کد از راه دور (RCE) با سطح دسترسی بالا را فراهم کرده و زمینه اجرای پیلودهای بعدی را ایجاد میکند.
جمعبندی
پژوهشگران تأکید کردهاند که معماری بدافزار Reaper نشاندهنده تغییر استراتژی توسعهدهندگان SHub است. این بدافزار اکنون فراتر از سرقت اطلاعات ساده رفته و با ایجاد بکدور پایدار، امکان نفوذ بلندمدت و کنترل سیستم قربانی را فراهم میکند.
کارشناسان امنیتی توصیه میکنند در صورت باز شدن ناگهانی Script Editor از طریق لینکهای مشکوک، بلافاصله آن را ببندید و از دانلود نرمافزارها از منابع غیررسمی خودداری کنید.
