تبدیل هزاران رایانه شخصی ویندوز و macOS هک شده به سرورهای پروکسی
اخبار داغ فناوری اطلاعات و امنیت شبکه
عوامل تهدید از دسترسی به ویندوز و دستگاههای macOS آلوده به بدافزار استفاده میکنند تا یک برنامه سرور پروکسی را ارائه کرده و از آنها بهعنوان نودهای خروجی برای تغییر مسیر درخواستهای پروکسی استفاده کنند.
به گفته AT&T Alien Labs، شرکت ناشناس ارائهدهنده سرویس پروکسی بیش از ٤٠٠٠٠٠ نود خروجی پروکسی را اداره میکند؛ اگرچه هنوز مشخص نیست که چه تعداد از آنها توسط بدافزار نصب شده بر روی دستگاههای آلوده و بدون اطلاع و تعامل با کاربر، انتخاب شدهاند.
این شرکت افزود: "اگرچه وبسایت پروکسی ادعا میکند که نودهای خروجی آن تنها از کاربرانی میآید که با استفاده از دستگاه خود از این امر مطلع شده و با آن موافقت کردهاند"، اما این شرکت امنیت سایبری گفت که به شواهدی دست پیدا کرده است که نشان میدهد "نویسندگان بدافزار در حال نصب پروکسی به شکلی بیسر و صدا در سیستمهای آلوده هستند".
چندین خانواده بدافزار مشاهده شدهاند که پروکسی را بهکاربرانی که در جستجوی نرمافزارها و بازیهای کرک شده هستند، ارائه میکنند. نرمافزار پروکسی که به زبان برنامهنویسی Go نوشته شده است، میتواند هم ویندوز و هم macOS را هدف قرار دهد، که در مورد ویندوز، قادر است با استفاده از یک امضای دیجیتال معتبر از سد هرگونه شناسایی، فرار کند.
علاوه بر دریافت دستورالعملهای بیشتر از یک سرور راه دور، پروکسی برای جمعآوری اطلاعات در مورد سیستمهای هک شده، ازجمله فرآیندهای در حال اجرا، استفاده از پردازنده و حافظه و وضعیت باتری تنظیم و پیکربندی شده است. علاوه بر این، نصب نرمافزار پروکسی با استقرار بدافزارهای اضافی یا المانهای تبلیغاتی نیز همراه است.
اوفر کاسپی، محقق امنیتی، گفت: "کسب درآمد از بدافزارهایی که سرورهای پروکسی را منتشر میکنند از طریق یک برنامه وابسته مشکل ساز است، زیرا ساختاری رسمی برای افزایش سرعت گسترش این تهدید ایجاد میکند".
این افشاگری بر اساس یافتههای قبلی AT&T است که در آن دستگاههای macOS که توسط AdLoad در معرض خطر قرارگرفتهاند، در یک باتنت پروکسی غولپیکر شخصی جمع میشوند و این احتمال را افزایش میدهد که اپراتورهای AdLoad میتوانند یک کمپین پرداخت به ازای نصب یا pay-per-install را اجرا کنند.
بدافزار AdLoad یکی از بزرگترین گونههای شناخته شده ابزارهای تبلیغاتی مزاحم است که macOS را هدف قرار میدهد. Adload که به جعل هویت پخشکنندههای ویدیویی محبوب و سایر برنامههای پرکاربرد معروف است، مرورگرها را هایجک کرده و قربانیان را مجبور به بازدید از وبسایتهای بالقوه مخرب میکند و به مجرمان سایبری این امکان میدهد تا از این طرحها سود ببرده و سواستفاده کنند.
این شرکت گفت: "ماهیت فراگیر AdLoad که به طور بالقوه هزاران دستگاه را در سراسر جهان آلوده میکند، نشان میدهد که کاربران دستگاههای MacOS یک هدف جذاب و سودآور برای دشمنان پشت این بدافزار هستند که در راستای دانلود و نصب برنامههای مخرب، فریب داده میشوند".
در ادامه گزارش آمده است: "ظهور بدافزار ارائهدهنده برنامههای پروکسی بهعنوان یک سرمایهگذاری پرسود، که توسط برنامههای وابسته تسهیل میشود، ماهیت خرابکارانه و پرفریب تاکتیکهای مهاجمان را نشان میدهد. این پروکسیها که به طور مخفیانه از طریق پیشنهادهای جذاب یا نرمافزارهای در معرض خطر نصب میشوند، بهعنوان کانالهایی جهت کسب سودهای مالی غیرمجاز عمل میکنند".
این توسعه در حالی صورت میگیرد که سیستمهای macOS به طور فزایندهای به یک هدف ارزشمند برای مهاجمان تبدیل شدهاند، به طوری که دارکوب شاهد افزایش ١٠٠٠ درصدی عوامل تهدید کننده در تبلیغات انواع ابزار سرقت اطلاعات و ابزارهای پیچیدهای هستند که میتوانند عملکردهای امنیتی macOS، یعنی Gatekeeper و Transparency، Consent و Control (TCC) را از سال ۲۰۱۹ دور بزنند.
مجموعه Accenture در گزارشی که در این ماه منتشر شد، گفت: "در سال ٢٠٢٢ و نیمهاول سال ٢٠٢٣، فعالیتهای مبتنی بر هدفگیری و حمله به macOS تشدید شده است".
این شرکت در ادامه افزود: "ترکیبی از افزایش استفاده از macOS در محیطهای سازمانی، درآمد بالقوه بالای عاملان تهدید که مایل و قادر به هدف قرار دادن macOS هستند و افزایش تقاضا برای ابزارها و محصولات macOS، نشان میدهد که اینروند نهتنها کاهش نیافته، بلکه روند روبهرشد آن، ادامه خواهد داشت".
شرکت امنیت سایبری رومانیایی Bitdefender نیز، در گزارش چشمانداز تهدید macOS خود، اعلام کرد که کاربران مک عمدتا در سال گذشته هدف سه تهدید کلیدی قرارگرفتهاند: تروجانها (۵١/٨%)، برنامههای بالقوه ناخواسته (٢۵/٣%) و Adware (٢٢/٦%)ها.
بیتدیفندر خاطرنشان کرد: "EvilQuest تنها و رایجترین بدافزاری است که Mac را با ۵٢/٧ درصد هدف قرار میدهد. تروجانهایی که برای بهرهبرداری از آسیبپذیریهای اصلاحنشده طراحی شدهاند، برای کاربرانی که معمولا نصب آخرین پچهای امنیتی اپل را به تعویق میاندازند، یک خطر واقعی است".
برچسب ها: Proxy Botnet, TCC, سرور پروکسی, EvilQuest, Proxy Server, Proxy, پروکسی, Adware, Gatekeeper, AdLoad, Golang, Mac, macOS, Apple, اپل, windows, ویندوز, malware, Cyber Security, جاسوسی سایبری, بدافزار, امنیت سایبری, جنگ سایبری, Cyber Attacks, مجرمان سایبری, حمله سایبری, news