حملات سایبری جدید کره شمالی به اپلیکیشن های رمزارزی

چگونه بدافزارهای مخفی در اپلیکیشن‌های مک جاسازی می‌شوند؟

Flutter ابزاری محبوب برای توسعه اپلیکیشن‌های چندپلتفرمی است که به توسعه‌دهندگان امکان می‌دهد کدی بنویسند که در macOS، iOS و Android به‌صورت یکپارچه اجرا شود. با این حال، ساختار خاص Flutter باعث شده شناسایی کدهای مخرب در آن چالش‌برانگیز باشد، و هکرها از این پیچیدگی برای پنهان کردن کدهای خود استفاده کرده‌اند.

در یک اپلیکیشن معمولی Flutter، کد اصلی در یک فایل کتابخانه‌ای داینامیک به نام dylib قرار می‌گیرد که توسط موتور Flutter بارگذاری می‌شود. این ساختار باعث سختی بررسی کدها می‌شود و هکرها از این فرصت برای مخفی کردن کدهای مخرب بهره‌برده‌اند.

نسخه‌های مختلف بدافزار و عملکرد آن‌ها

تیم تحقیقاتی Jamf سه نسخه مختلف از بدافزار را شناسایی کرده است که هر کدام به زبان برنامه‌نویسی متفاوتی نوشته شده‌اند: Flutter، Go و Python. تمامی این نسخه‌ها از روش‌های مشابهی برای ارتباط با سرورهای خارجی استفاده می‌کنند که به باور محققان تحت کنترل هکرهای کره شمالی قرار دارند. هدف اصلی این برنامه‌ها، دانلود اسکریپت‌های مخرب برای کنترل از راه دور مک‌های آلوده است.

اپلیکیشن مخرب Flutter با نام "New Updates in Crypto Exchange"

یکی از نسخه‌های بدافزار که به کمک Flutter توسعه یافته، اپلیکیشنی به ظاهر بی‌خطر به نام New Updates in Crypto Exchange است که مانند یک بازی ساده به نظر می‌رسد. اما در کد این اپلیکیشن، تابعی مخفی وجود دارد که با دامنه‌ای متصل به عملیات سایبری کره شمالی ارتباط برقرار می‌کند و قادر به دانلود اسکریپت‌های مخرب برای کنترل مک آلوده است.

نسخه Python بدافزار

نسخه Python این بدافزار به عنوان یک اپلیکیشن ساده یادداشت‌برداری ظاهر می‌شود، اما در واقع با دامنه‌های مشکوک ارتباط برقرار می‌کند و AppleScriptهای مخرب را دانلود و اجرا می‌کند. این بدافزار از AppleScript برای کنترل از راه دور دستگاه استفاده می‌کند و قابلیت اجرای دستورات AppleScript به‌صورت وارونه (برای فرار از شناسایی) را دارد.

چرا استفاده از AppleScript در این بدافزار خطرناک است؟

AppleScript ابزار اتوماسیون در macOS است که به اپلیکیشن‌ها اجازه می‌دهد با یکدیگر ارتباط برقرار کنند و وظایفی را به صورت خودکار انجام دهند. بدافزارهای شناسایی شده از این ابزار برای کنترل از راه دور دستگاه‌ها و انجام کارهایی همچون ثبت اطلاعات و نصب بدافزار استفاده می‌کنند. با توجه به امکانات گسترده AppleScript، این حملات می‌توانند خطرات جدی برای کاربران ایجاد کنند.

چگونه از خود در برابر بدافزارهای macOS محافظت کنیم؟

در حالی که هنوز گزارشی از استفاده این اپلیکیشن‌ها در حملات واقعی منتشر نشده، به نظر می‌رسد این بدافزارها در مرحله آزمایشی هستند. با توجه به سابقه هکرهای کره شمالی در هدف قرار دادن بخش‌های مالی، کاربران و شرکت‌های مرتبط با رمزارزها باید دقت ویژه‌ای داشته باشند.

نکات کلیدی برای محافظت

• تنها از Mac App Store دانلود کنید: اپلیکیشن‌های موجود در App Store توسط اپل بررسی می‌شوند و این فرآیند احتمال دانلود نرم‌افزارهای مخرب را کاهش می‌دهد.
• به‌روزرسانی‌های سیستم را مرتب انجام دهید: اپل به‌طور منظم پچ‌های امنیتی را منتشر می‌کند. به‌روزرسانی مداوم سیستم و اپلیکیشن‌ها به جلوگیری از آسیب‌پذیری‌های جدید کمک می‌کند.
• احتیاط در استفاده از اپلیکیشن‌های مرتبط با رمزارز: بسیاری از حملات با استفاده از اپلیکیشن‌های جعلی مرتبط با رمزارز انجام می‌شوند. از برنامه‌هایی که وعده سود سریع یا روش‌های مشکوک می‌دهند، دوری کنید.

نتیجه‌گیری: احتیاط بیشتر در دانلود اپلیکیشن‌های macOS

حملات جدید نشان می‌دهد که هکرهای کره شمالی به طور روزافزون از ترفندهای پیشرفته برای نفوذ به کامپیوترها و سرقت اطلاعات استفاده می‌کنند. از آنجا که هدف اصلی آن‌ها بخش‌های مالی است، کاربران macOS باید در دانلود اپلیکیشن‌ها دقت بیشتری داشته باشند. با دانلود تنها از منابع معتبر، به‌روزرسانی سیستم و اجتناب از اپلیکیشن‌های مشکوک، می‌توانند از خود در برابر این تهدیدات محافظت کنند.