بدافزار SHub Reaper با جعل هویت گوگل، مایکروسافت و اپل، بکدور مخفی در مک‌اواس ایجاد می‌کند

بدافزار SHub Reaper به‌عنوان یک بدافزار رباینده اطلاعات (Infostealer) جدید برای سیستم‌عامل مک‌اواس، رویکرد متفاوتی در حملات مهندسی اجتماعی و اجرای مخفیانه کد مخرب (payload) ارائه کرده است. محققان امنیتی اعلام کرده‌اند بدافزار SHub Reaper با جعل هویت برندهای اپل، گوگل و مایکروسافت، علاوه بر سرقت اطلاعات حساس کاربران، امکان ایجاد بکدور پایدار روی سیستم‌های مک‌اواس را نیز فراهم می‌کند.

این تهدید که توسط محققان SentinelOne شناسایی شده، نسخه‌ای از خانواده بدافزاری Shub محسوب می‌شود و نشان‌دهنده تغییر مهمی در عملکرد بدافزارهای مک‌اواس است؛ تغییری که مهاجمان را از مدل‌های سنتی ClickFix به سمت اجرای مبتنی بر اپل‌اسکریپت (AppleScript) سوق داده است.

زنجیره حمله چندمرحله‌ای در بدافزار SHub Reaper

بر اساس گزارش SentinelOne، بدافزار SHub Reaper از نصب‌کننده‌های جعلی WeChat و Miro به‌عنوان طعمه مهندسی اجتماعی استفاده کرده تا کاربران را به دانلود فایل آلوده ترغیب کند. استفاده از نرم‌افزارهای جعلی همچنان یکی از رایج‌ترین روش‌های توزیع بدافزارهای رباینده اطلاعات محسوب می‌شود.

آنچه این کمپین را متمایز می‌کند، تغییر مداوم هویت در مراحل مختلف زنجیره حمله است. در این سناریو، کد مخرب ممکن است ابتدا از طریق یک دامنه جعلی مشابه مایکروسافت دانلود شود، سپس در قالب یک به‌روزرسانی امنیتی اپل اجرا شده و در نهایت با سوءاستفاده از دایرکتوری جعلی Google Software Update، دسترسی پایدار خود را روی سیستم قربانی حفظ کند.

محققان این تکنیک را نوعی «جعل چندبرندی در یک زنجیره واحد» توصیف کرده‌اند؛ روشی که با سوءاستفاده هم‌زمان از اعتبار برندهای شناخته‌شده، احتمال فریب کاربران و موفقیت حمله را به‌طور قابل‌توجهی افزایش می‌دهد.

ماهیت دوگانه؛ فراتر از یک سرقت ساده

برخلاف بسیاری از بدافزارهای رباینده اطلاعات سنتی که صرفاً برای سرقت سریع داده طراحی می‌شوند، بدافزار SHub Reaper قابلیت‌های سرقت اطلاعات و دسترسی پایدار را ترکیب می‌کند.

 این بدافزار علاوه بر سرقت اعتبارنامه‌ها ، ربودن کیف‌پول‌های رمزارزی و استخراج فایل‌ها و اسناد حساس، از مکانیزم‌های پایداری (Persistence) نیز برای حفظ دسترسی مهاجم به سیستم قربانی استفاده می‌کند.

مهاجمان برای ایجاد این دسترسی پایدار، یک فریم‌ورک جعلی Google Update را در مسیر Library کاربر نصب کرده و سپس یک عامل اجرایی (LaunchAgent) با الگوی نام‌گذاری مشابه Google Keystone ثبت می‌کنند. Beacon یا مولفه ارتباطی بدافزار نیز هر 60 ثانیه با سرور فرماندهی و کنترل (C2) ارتباط برقرار کرده و امکان اجرای دستورات دلخواه مهاجم را فراهم می‌سازد.

این مکانیزم عملاً یک آلودگی بدافزار رباینده اطلاعات را به بکدوری سبک اما پایدار در مک‌او‌اس تبدیل می‌کند؛ قابلیتی که مجموعه‌ای از تکنیک‌های چند خانواده بدافزاری مدرن را در یک زنجیره واحد ترکیب کرده است.

تغییر مدل اجرای پیلود در بدافزار SHub Reaper

یکی از مهم‌ترین ویژگی‌های بدافزار SHub Reaper، فاصله گرفتن از تکنیک سنتی ClickFix است؛ روشی در مهندسی اجتماعی که طی آن قربانی فریب داده می‌شود تا دستورات مخرب را به‌صورت دستی در ترمینال (Terminal) سیستم اجرا کند. اما این بدافزار از مکانیزم متفاوتی استفاده می‌کند که ترمینال به‌طور کامل دور می‌زند.

طبق گزارش منتشرشده، مهاجمان از URL Scheme اختصاصی applescript:// برای باز کردن ویرایشگر اسکریپت (Script Editor) سیستم مک‌اواس همراه با اپل‌اسکریپت مخرب استفاده می‌کنند. این تکنیک باعث می‌شود کد مخرب بدون نیاز به کپی و اجرای دستی دستورات در ترمینال، مستقیماً روی سیستم قربانی اجرا شود.

به گفته محققان، این روش می‌تواند مکانیزم‌های حفاظتی جدید اپل در نسخه Tahoe 26.4 را نیز دور بزند؛ قابلیت‌هایی که با هدف کاهش حملات مهندسی اجتماعی مبتنی بر ترمینال طراحی شده‌اند.

مهاجرت مهاجمان به اپل‌اسکریپت و تکنیک‌های LotL

بدافزار SHub Reaper نمونه‌ای شاخص از استفاده مهاجمان از تکنیک‌های «استفاده از ابزارهای بومی سیستم» (Living off the Land یا LotL) محسوب می‌شود؛ رویکردی که در آن مهاجم به‌جای استفاده از ابزارها و باینری‌های خارجی، از قابلیت‌ها و پردازه‌های قانونی سیستم‌عامل برای اجرای فعالیت‌های مخرب بهره می‌برد.

در این کمپین، مهاجمان تلاش می‌کنند زنجیره اجرای کد مخرب را به پردازه‌های قابل‌اعتماد مک‌اواس مانند ویرایشگر اسکریپت و اپل‌اسکریپت محدود کنند؛ روشی که چند مزیت مهم برای آن‌ها ایجاد می‌کند:

• عدم نیاز به وارد کردن فایل‌های اجرایی خارجی (External Binaries) به فایل‌سیستم
• کاهش احتمال شناسایی توسط ابزارهای امنیتی مبتنی بر اسکن فایل
• دور زدن مکانیزم‌های حفاظتی

محققان معتقدند این تغییر رویکرد، بخشی از تحول جدید در بدافزارهای مک‌اواس است؛ زیرا مهاجمان اکنون ترجیح می‌دهند فعالیت مخرب را در قالب پردازه‌های عادی و مورد اعتماد سیستم‌عامل پنهان کنند.

در نتیجه، بسیاری از سیستم‌های شناسایی سنتی مبتنی بر ترمینال دیگر کارایی سابق را برای شناسایی این نوع آلودگی‌ها ندارند.

راهکارهای مقابله و شناسایی

محققان امنیتی هشدار داده‌اند که بدافزار SHub Reaper با استفاده از روش‌های اجرایی جدید، شناسایی فعالیت‌های مخرب را برای تیم‌های امنیتی پیچیده‌تر کرده است. به همین دلیل، سازمان‌ها باید مانیتورینگ فعالیت‌های مبتنی بر اپل‌اسکریپت را در اولویت قرار دهند.

توصیه‌های امنیتی شامل موارد زیر است:

• مانیتورینگ اجرای غیرمنتظره Script Editor.app
• شناسایی اجرای osascript که منجر به اجرای curl یا مفسرهای خط فرمان می‌شود
• بررسی زنجیره Browser-to-AppleScript
• مانیتورینگ اجرای اپل‌اسکریپت از طریق URL Handlerهای غیرمعمول
• جلوگیری از دانلود و نصب نرم‌افزار از منابع غیررسمی و تأییدنشده

بر اساس تحقیقات منتشرشده، بدافزارهای رباینده اطلاعات اکنون یکی از سریع‌ترین ابزارهای سرقت اعتبارنامه‌های سازمانی محسوب می‌شوند و مهاجمان می‌توانند داده‌های سرقت‌شده را تنها ظرف 48 ساعت وارد بازارهای زیرزمینی کنند؛ موضوعی که نشان‌دهنده افزایش سرعت سوءاستفاده از داده‌های سرقتی در حملات مدرن است.

منابع