این پیام‌رسان‌ها برای کاربران MacOS خطرناک شدند

کارشناسان کسپرسکی نسخه تازه‌ای از بدافزار HZ Rat backdoor کشف کرده‌‌‌‌‌‌‌‌‌‌اند که با سوءاستفاده از پیام‌‌‌‌‌‌‌‌‌‌رسان‌‌‌‌‌‌‌‌‌‌های DingTalk و WeChat در سیستم‌‌‌‌‌‌‌‌‌‌عامل macOS از کاربران جاسوسی می‌‌‌‌‌‌‌‌‌‌کند.

به گزارش افتانا، محققان امنیتی آکادمی کسپرسکی نسخه تازه‌ای از بدافزار HZ Rat backdoor کشف کرده‌‌‌‌‌‌‌‌‌‌اند که کاربران پیام‌‌‌‌‌‌‌‌‌‌رسان‌‌‌‌‌‌‌‌‌‌های DingTalk و WeChat در سیستم‌‌‌‌‌‌‌‌‌‌عامل macOS را هدف قرار می‌‌‌‌‌‌‌‌‌‌دهد و اقدام به جاسوسی از آنها می‌‌‌‌‌‌‌‌‌‌کند. سازوکار این نمونه جدید بسیار مشابه نسخه ویندوز این بدافزار است که به وسیله کدهای مخرب PowerShell سیستم قربانی را آلوده می‌‌‌‌‌‌‌‌‌‌کرد.

دو روش برای راه یافتن بدافزار به سیستم کاربر وجود دارد. در روش نخست، کد مخرب به صورت مستقیم از سرور مهاجم دریافت می‌شود. لازم به ذکر است که برخی نسخه‌‌‌‌‌‌‌‌‌‌های این در پشتی از آدرس‌‌‌‌‌‌‌‌‌‌های IP محلی برای برقراری ارتباط با یک سرور فرمان و کنترل (C2) استفاده می‌‌‌‌‌‌‌‌‌‌کردند که می‌‌‌‌‌‌‌‌‌‌تواند نشان‌‌‌‌‌‌‌‌‌‌دهنده هدفمند بودن حمله و قصد مهاجمان برای بهره‌‌‌‌‌‌‌‌‌‌برداری از backdoor به منظور حرکت جانبی روی شبکه قربانی باشد. در روش دوم، بدافزار، خود را به عنوان یک نصب‌‌‌‌‌‌‌‌‌‌کننده نرم‌‌‌‌‌‌‌‌‌‌افزاری دیگر همانند OpenVPN، PuTTYgen یا EasyConnect جا می‌‌‌‌‌‌‌‌‌‌زند. هنوز نقطه توزیع اصلی بدافزار یافت نشده است ولی یک بسته نصبی برای یکی از نمونه‌‌‌‌‌‌‌‌‌‌های آن به نام OpenVPNConnect.pkg در دسترس عموم قرار گرفته است. این نمونه توسط هیچ یک از ابزارهای مطرح، مخرب شناسایی نشده است و همانند یک نصب‌‌‌‌‌‌‌‌‌‌کننده نرم‌‌‌‌‌‌‌‌‌‌افزار عمل می‌‌‌‌‌‌‌‌‌‌کند با این تفاوت که در زیرشاخه MacOS و در کنار نرم‌‌‌‌‌‌‌‌‌‌افزار اصلی، دو فایل exe و init نیز وجود دارند. با اجرای نرم‌‌‌‌‌‌‌‌‌‌افزار بر روی سیستم قربانی، ابتدا، فایل exe اجرا می‌‌‌‌‌‌‌‌‌‌شود. فایل exe حاوی کدهایی است که نخست فایل init و سپس نرم‌‌‌‌‌‌‌‌‌‌افزار OpenVPN را اجرا می‌‌‌‌‌‌‌‌‌‌کند. این ترتیب اجرا در فایل Info.plist مشخص شده است.

در واقع، فایل init همان backdoor است که به زبان C++ نوشته شده است. پس از اجرا شدن، فایل init، با IPهای مشخص‌‌‌‌‌‌‌‌‌‌شده در خود backdoor اتصالی به سرور C2 برقرار می‌‌‌‌‌‌‌‌‌‌کند. در بسیاری از موارد پورت 8081 برای اتصال مورد استفاده قرار گرفته است. همچنین برخی نمونه‌‌‌‌‌‌‌‌‌‌ها از آدرس‌‌‌‌‌‌‌‌‌‌های IP خصوصی برای برقراری این اتصال بهره می‌‌‌‌‌‌‌‌‌‌بردند. این نمونه‌‌‌‌‌‌‌‌‌‌ها، به احتمال بالا، به منظور کنترل دستگاه قربانی با استفاده از رایانه‌‌‌‌‌‌‌‌‌‌ای از پیش آلوده‌‌‌‌‌‌‌‌‌‌شده در شبکه محلی ایشان به عنوان سرور پروکسی برای راهنمایی اتصال به سوی سرور C2 به کار برده می-شده‌‌‌‌‌‌‌‌‌‌اند. این امر به منظور پنهان کردن بدافزار در شبکه صورت می‌‌‌‌‌‌‌‌‌‌گیرد، زیرا تنها دستگاه دارای پروکسی با سرور C2 ارتباط برقرار می‌‌‌‌‌‌‌‌‌‌کند.

تمامی ارتباطات با سرور C2 با استفاده از XOR و کلید 0X42 رمزگذاری شده‌‌‌‌‌‌‌‌‌‌اند. برای آغاز session، backdoor یک عدد تصادفی با برچسب cookie را به سرور ارسال می‌‌‌‌‌‌‌‌‌‌کند. دستورات اجرایی از سرور C2 به دست آمده که اطلاعاتی مانند وضعیت System Integrity Protection و اطلاعات سیستم و دستگاه، ازجمله آدرس IP محلی، اطلاعات دستگاه‌های بلوتوثی، اطلاعات شبکه‌های Wi-Fi در دسترس، آداپتورهای شبکه بی‌‌‌‌‌‌‌‌‌‌سیم موجود و شبکه‌‌‌‌‌‌‌‌‌‌ای که دستگاه به آن متصل است، مشخصات سخت‌‌‌‌‌‌‌‌‌‌افزاری، اطلاعات مربوط به ذخیره‌‌‌‌‌‌‌‌‌‌سازی داده‌‌‌‌‌‌‌‌‌‌ها، لیست برنامه‌‌‌‌‌‌‌‌‌‌ها، اطلاعات کاربر در WeChat، اطلاعات کاربر و سازمان از DingTalk و کاربری و وب‌سایت به صورت مقادیر جفتی از Google Password Manager را از سیستم قربانی استخراج می‌‌‌‌‌‌‌‌‌‌کنند.

این داده‌‌‌‌‌‌‌‌‌‌ها به صورت متن ساده (plain text) در فایل userinfo.data ذخیره می‌‌‌‌‌‌‌‌‌‌شوند. مهاجمان به اطلاعات دقیق‌‌‌‌‌‌‌‌‌‌تری از برنامه DingTalk علاقه‌‌‌‌‌‌‌‌‌‌مندند ازجمله نام سازمان و بخشی که کاربر در آن کار می‌‌‌‌‌‌‌‌‌‌کند، نام کاربری، آدرس ایمیل شرکت و شماره تلفن. کد مخرب تلاش می‌‌‌‌‌‌‌‌‌‌کند این اطلاعات را از فایل orgEmployeeModel دریافت کند. اگر این فایل یافت نشود، بدافزار در فایل sAlimailLoginEmail به دنبال شماره تلفن و آدرس ایمیل کاربر می‌‌‌‌‌‌‌‌‌‌گردد. اگر این اقدام نیز شکست بخورد، تلاش می‌‌‌‌‌‌‌‌‌‌کند آدرس ایمیل کاربر را در یکی از فایل‌‌‌‌‌‌‌‌‌‌های کش DingTalk به نام .holmes.mappings بیابد. این اطلاعات نیز به صورت متن ساده نگهداری می‌‌‌‌‌‌‌‌‌‌شوند.

در زمان تحلیل، 4 سرور کنترل فعال بوده و دستورات مخرب بازمی‌‌‌‌‌‌‌‌‌‌گرداند. برخی از آدرس‌‌‌‌‌‌‌‌‌‌های IP شناسایی‌‌‌‌‌‌‌‌‌‌شده پیش‌‌‌‌‌‌‌‌‌‌تر در حملات به دستگاه‌‌‌‌‌‌‌‌‌‌های ویندوز دیده شده بودند. به جز تنها دو سرور که در ایالت متحده آمریکا و هلند قرار داشتند، تمامی سرورهای C2 در چین یافت شدند. بسته نصبی مخرب قبلا از دامنه زیر متعلق به شرکت بازی‌‌‌‌‌‌‌‌‌‌سازی MiHoYo، بارگیری شده است. چگونگی راهیابی این فایل به این دامنه هنوز به طور قطع مشخص نشده است و احتمال دارد این کمپانی قبلا هک شده باشد.
hxxp://vpn.mihoyo[.]com/uploads/OpenVPNConnect.zip.

تمامی نسخه‌‌‌‌‌‌‌‌‌‌های سیستم‌‌‌‌‌‌‌‌‌‌عامل macOS در مقابل این بدافزار آسیب‌‌‌‌‌‌‌‌‌‌پذیر هستند. باید macOS و تمامی اپلیکیشن‌های نصب‌شده به‌روز باشند تا آسیب‌پذیری‌های شناخته‌شده برطرف شوند و به کاربران توصیه می‌‌‌‌‌‌‌‌‌‌شود از برنامه‌‌‌‌‌‌‌‌‌‌های WeChat و DingTalk بپرهیزند.