بدافزار جدید هکر‌های ایرانی کامپیوتر‌های مک فعالین حقوق بشر را هدف قرار می‌دهد

کالین اندرسون محقق امنیت اینترنت گفت هکر‌های ایرانی بدافزار جدیدی را طراحی کردند که سیستم عامل‌های مک را هدف قرار می‌دهد. این اولین نمونه از بدافزارهایی است که توسط هکرهای دولتی ایران برای حمله به سیستم‌عامل رایانه‌های مک استفاده می‌شود. تا پیش از این یافته جدید، عمدتا بدافزار‌هایی که توسط آنها ساخته می‌شد سیستم‌عامل‌های ویندوز و اندروید را هدف قرار می‌داد.

به گزارش تارنگار حقوق بشر در ایران به نقل از کمپین بین المللی، کالین اندرسون که به همراه همکار خودش این بدافزار را شناسایی کرده است، در پاسخ به این سوال که تا چه میزان این بدافزار جدید را باید جدی گرفت گفت: «این بدافزار از نظر فنی چندان در سطح بالایی طراحی نشده است، اما طراحی یک بدافزار برای کامپیوتر‌های مک نشان از آن دارد که گروه‌های ایرانی در حال پاسخ دادن به شرایط زمان خود هستند. نگرانی من این است که افراد زیادی به دلیل آنکه مک را امن می‌دانند، از ویندوز به این سیستم عامل مهاجرت کردند، درحالی که توجه ندارند مهاجرت از یک سیستم عامل به سیستم عامل دیگر به خودی خود باعث ارتقای امنت آنها نمی‌شود. بنابراین هشداری است به کاربران مک که بدانند آنها نیز مورد هدف قرار گرفته‌اند.»

بر اساس گزارش وب‌سایت تهدید‌های ایران که متمرکز بر تجزیه و تحلیل حمله‌های هکر‌های حکومتی ایران است، این بدافزار پیش از این زیرساخت‌های صنایع را هدف قرار می‌داد و اخیرا کامپیوتر‌های فعالین حقوق بشر ایرانی را نیز هدف گرفته است.

این بدافزار که MacDownloader نام دارد، با به سرقت بردن رمز کامپیوتر کاربر،‌ صفحه‌ای جعلی را ایجاد و نمایش می‌دهد تا کاربر را فریب داده و رمز ورود به رایانه‌ او را دریافت کند. همچنین خود را در دو قالب فایل جعلی نصب برنامه فلش(Flash Player) و حذف کننده تبلیغات آنتی‌ویروس بیت دیفندر(Bitdefender Adware Removal Tool) معرفی می‌کند، پس از نصب توسط قربانی در کامپیوتر خود را پنهان می‌کند و پس از آن اقدام به تهیه کپی از بانک اطلاعاتی برنامه Keychain Access می‌کند.

Keychain Access برنامه‌ای در سیستم عامل مک است که به کاربر امکان ذخیره سازی اطلاعاتی مانند رمز ایمیل‌ها، وب‌سایت‌ها،‌ اتصال‌های وای‌فای‌، منابع سخت‌افزاری و نرم‌افزاری که در شبکه به اشتراک گذاشته شده است و همچنین نسخه‌های پشتیبان رمزگذاری شده از حافظه رایانه (Encrypted disk images) را می‌دهد. به این ترتیب با تهیه کپی از بانک اطلاعاتی این برنامه هکرها عملا به بخش بسیار زیادی از اطلاعات آنلاین و آفلاین قربانی خود دسترسی خواهند داشت.

به گفته کالین اندرسون، یکی از محقق‌هایی که این بدافزار را شناسایی کرده است، «تعداد اندکی» با این نسخه از بدافزار آلوده شده‌اند:‌«نسخه‌ی از این بدافزار که برای سیستم عامل ویندوز طراحی شده است که از سرور‌های همین نسخه مک استفاده می‌کند، تعداد کمی از کاربران ایرانی در داخل و خارج از ایران را الوده کرده است. ما تصمیم گرفتیم که این گزارش را سریع‌تر منتشر کنیم تا با اثر گذاشتن بر روی رفتار هکر‌ها و کاربران ایرانی مانع از آلوده شدن افراد بیشتری شویم. هدف اصلی ما آموزش کاربرانی است که پتاسنیل هدف قرار گرفتن را دارند.»

اندرسون همچنین در مورد روش‌هایی که کاربران می‌توانند از خود در برابر این بدافزار محافظت کنند گفت: «راه حل ساده‌ای وجود ندارد اما بهترین کاری که کاربران می‌توانند بکنند این است که مراقب نرم‌افزار‌هایی که دانلود می‌کنند باشند و همچنین در مورد ایمیل‌هایی که دریافت می‌کنند با احتیاط عمل کنند. همانطوری که در گزارش نشان دادیم برنامه‌های ضد ویروس به طور معمول بخشی از بدافزار را تشخیص می‌دهند و تحت عنوان “مشکوک” آن را علامت گذاری می‌کنند. به دلیل آنکه که بخش کوچکی از جمعیت کاربران ایرانی با این بدافزار هدف گرفته شده‌اند، میزان شناسایی این بدافزار توسط ضدویروس‌ها پایین است. در مواردی از این داشتن یک ضدویروس به تنهایی برای محافظ در برابر بدافزار‌ها کافی نیست.»