#امنیت ؛ در این مقاله به بررسی و معرفی بدافزار جدید Quimitchin می پردازیم . با ما همراه باشید : 

 

محققان امنیتی اولین بدافزار سامانه‌های مک را در سال ۲۰۱۷ شناسایی کردند. این بدافزار ساختار بسیار ساده‌ای داشته و از کدهای قدیمی و منسوخ استفاده می‌کند ولی با این حال برای مدتی توانسته بدون شناسایی به عملیات خود ادامه دهد. این مدت زمان شاید چند سال بوده باشد و به احتمال زیاد عملیات مخرب خود را بر روی مؤسسات تحقیقات پزشکی انجام داده است.

 

این بدافزار زمانی شناسایی شد که یک مدیر بخش فناوری اطلاعات، ترافیک غیرعادی را از طرف یک سامانه‌ی مک تشخیص داد. بررسی‌های بیشتر منجر شد تا محققان امنیتی یک بدافزار جاسوسی را شناسایی کنند که اینک آن را Quimitchin نام‌گذاری کرده‌اند.

 

بدافزار جدید Quimitchin فقط حاوی دو پرونده است: یک پرونده‌ی plist. که باعث می‌شود در تمامی بازه‌های زمانی، پروند‌ی client. در حال اجرا باشد و پرونده‌ی client. که حاوی بار داده‌ی بدافزار است. بقیه‌ی پرونده‌ها اسکریپت‌های پرل هستند که برای مبهم‌سازی بدافزار مورد استفاده قرار گرفته‌اند. به گزارش محققان امنیتی، این بدافزار سه مؤلفه را با یکدیگر ترکیب می‌کند. یک باینری مک، یک اسکریپت پرل و یک کلاس جاوا که در انتهای اسکریپت پرل قرار گرفته، با یکدیگر ترکیب شده‌اند. این اسکریپت پرونده‌ها را استخراج کرده و در پوشه‌ی /tmp/ ذخیره می‌کند و در ادامه این پرونده‌ها اجرا خواهند شد.

 

بدافزار جدید بدافزار جدید بدافزار جدید Quimitchin 100
به نظر می‌رسد هدف اصلی این بدافزار عکس‌برداری از صفحه‌ی نمایش و وب‌کم سامانه‌ی مک باشد که این بدافزار را تبدیل به یک ابزار جاسوسی کلاسیک کرده است. محققان امنیتی توضیح دادند: «به نظر می‌رسد این بدافزار تلاش می‌کند داده‌هایی را از هر چیزی که دسترسی دارد، به خارج از سامانه منتقل کند. از آنجایی که این بدافزار سامانه‌های مک در مراکز تحقیقاتی پزشکی را آلوده می‌کند، حدس می‌زنیم برای سرقتِ اطلاعات خاصی طراحی شده باشد اما در حال حاضر نمی‌دانیم چه کسانی پشت این بدافزار هستند.»

 

نکته‌ی عجیب در کد این بدافزار جدید استفاده از فراخوانی‌های سامانه‌ای منسوخ و قدیمی است. «این‌ توابع در واقع فراخوانی‌های قدیمی و منسوخ هستند که قدمت آن به پیش از سامانه‌های OS X می‌رسد. علاوه بر این در باینری بدافزار از کد متن‌باز libjpeg استفاده شده که آخرین به‌روزرسانی آن مربوط به سال ۱۹۹۸ است.»

 

بخشی از اسکریپت، یک تابع کنترل از راه دور ِ ابتدایی را ارائه می‌دهد. این اسکریپت شامل توابعی برای گرفتن عکس از صفحه‌ی نمایش و بدست آوردن اندازه‌ی صفحه و موقعیت نشانگر است. این تابع می‌تواند دستوراتی برای تغییر مکان نشانگر را دریافت کرده و عملیات کلیک موشواره و فشردن کلیدهای صفحه‌کلید را شبیه‌سازی کند.

 

این اسکریپت همچنین شامل دستورات شِل لینوکس نیز هست. با اجرای بدافزار بر روی ماشین‌های لینوکس، محققان امنیتی گفتند: «ممکن است نسخه‌ی لینوکسی این بدافزار نیز موجود باشد که محققان تاکنون نتوانسته‌اند آن را کشف کنند.» محققان همچنین توانستند دو پرونده‌ی اجرایی ویندوز را پیدا کنند که با کارگزار دستور و کنترل یکسانی در ارتباط هستند. یکی از این پرونده‌ها حتی از کتابخانه‌ی یکسان libjpeg استفاده می‌کند که از سال ۱۹۹۸ به‌روزرسانی نشده و در بدافزار Quimitchin نیز مورد استفاده قرار گرفته است.

 

بدافزار جدید بدافزار جدید بدافزار جدید Quimitchin 101
بدافزار جدید Quimitchin به چیزی شبیه به معما تبدیل شده است. طراحی این بدافزار بسیار ساده است ولی چند سال است که توسط کاشناسان امنیتی تشخیص داده نشده است. محققان امنیتی گفتند: «یکی از دلایل ناشناس ماندن بدافزار این است که در حملات بسیار قوی و محدودی مورد استفاده قرار گرفته و این مسئله باعث شده کمتر در معرض بررسی و شناسایی قرار بگیرد. در چند سال گذشته ماجراهای زیادی از حمله‌ی نفوذگران روسی و چینی به مراکز تحقیقاتی آمریکا و اروپا شنیده‌ایم. هرچند مدرک خاصی مبنی بر فعالیت این بدافزار توسط گروه‌های نفوذ خاصی وجود ندارد. این بدافزار در حملاتی علیه مراکز تحقیقات پزشکی مشاهده شده و می‌توان حدس زد که بخشی از یک پویش جاسوسی باشد.»

 

یک محقق امنیتی از شرکت ESET در توضیحاتی گفت: «ما نباید از روی قدیمی بودن کدهای بدافزار، سن آن را تشخیص بدهیم. این مسئله شاید به این معنی باشد که نویسندگان این بدافزار خیلی شناخت خوبی از سامانه‌های مک نداشته‌ و از اسناد قدیمی و منسوخ استفاده کرده‌اند. شاید هم استفاده از فراخوانی‌های سامانه‌ای منسوخ و قدیمی برای دور زدن سامانه‌های تشخیص رفتاری بدافزار باشد چرا که این سامانه‌ها در عملکرد خود، کدهای مدرن و جدید را مورد بررسی قرار می‌دهند.» این محقق در ادامه عنوان کرد: «مسلماً نویسندگان بدافزار در تهدید جدید خود از کدهای قدیمی و منسوخ استفاده نمی‌کنند تا بازه‌ی وسیعی از سامانه‌ها را هدف قرار دهند.»

 

باوجود اینکه کد بدافزار ساده و قدیمی است، با این‌حال به درستی کار می‌کند. این موضوع در ارتباط سریع بدافزار با کارگزار دستور و کنترل کشف شد و به نظر می‌رسد بدافزار به حد کافی پیچیده است. در گزارش محققان امنیتی در خصوص نحوه‌ی توزیع بدافزار و اینکه چه داده‌هایی را از سامانه‌ی آلوده خارج می‌کند، توضیحاتی ارائه نشده است. محققان امنیتی گفتند با یک نگاه به ماشین آلوده به راحتی می‌توان بدافزار را تشخیص داد و از روی سامانه حذف کرد.

 

مقالات مرتبط :
بدافزار جدید CryptoSearch
بدافزار جدید ؛ تهدیدی برای دستگاههای خودپرداز

 

 

پیمان قربانزاده
پیمان قربانزاده
با سلام . پیمان قربانزاده هستم . مدیر سایت پویا سیستم . من و تمام مجموعه پویا سیستم خوشحال می شویم که به شما در زمینه مشکلات نرم افزاری که دارید . کمک کنیم . پس با ما در ارتباط باشید .

سیستم نظردهی برای این مطلب توسط مدیریت بسته شده است.