Multi-License Discount Quote
قاعدة بيانات التهديد Mac Malware الصدأ الباب الخلفي

الصدأ الباب الخلفي

بواسطة Mezo في Mac Malware, Backdoors
ترجمة الى:
العربية

تم ربط باب خلفي لنظام التشغيل MacOS تم اكتشافه مؤخرًا، ومُشفر بلغة Rust، بمجموعتي برامج الفدية المعروفة Black Basta وAlphv/BlackCat. يُطلق على البرنامج الضار اسم RustDoor، ويظهر على أنه يدعم Visual Studio كلاً من معماريات Intel وArm وقد تم تداوله منذ نوفمبر 2023، وتمكن من تجنب الكشف لعدة أشهر.

حدد الباحثون إصدارات مختلفة من RustDoor، تشترك جميعها في نفس وظيفة الباب الخلفي مع اختلافات طفيفة. تدعم جميع هذه المتغيرات مجموعة من الأوامر لجمع الملفات وترشيحها، بالإضافة إلى جمع المعلومات حول الجهاز المصاب. يتم بعد ذلك نقل البيانات المجمعة إلى خادم الأوامر والتحكم (C&C)، حيث يتم إنشاء معرف الضحية واستخدامه في الاتصالات اللاحقة.

لقد قام RustDoor Backdoor بتطوير قدراته غير الآمنة

يبدو أن الإصدار الأولي من RustDoor Backdoor، الذي تم اكتشافه في نوفمبر 2023، كان بمثابة إصدار تجريبي. كان يفتقر إلى آلية استمرارية شاملة وظهر ملف plist "اختبار".

البديل الثاني، الذي يُعتقد أنه ظهر بعد شهر، يحتوي على ملفات أكبر ويتضمن تكوين JSON متطورًا وبرنامج نصي من Apple مصممًا لإخراج مستندات محددة من مجلدات المستندات وسطح المكتب وملاحظات المستخدم.

عند تثبيت نفسها على الأنظمة المخترقة، تقوم البرامج الضارة بنسخ المستندات والبيانات المستهدفة إلى مجلد مخفي وضغطها في أرشيف ZIP ثم نقلها إلى خادم الأوامر والتحكم (C&C). تحدد بعض التكوينات تعليمات جمع البيانات، مثل الحد الأقصى لحجم الملفات وعددها، أو قوائم الامتدادات والأدلة المستهدفة، أو الدلائل المطلوب استبعادها. ووجد الباحثون أيضًا أن ملف تكوين RustDoor يسمح بانتحال هوية تطبيقات مختلفة، مع خيارات لتخصيص مربع حوار كلمة مرور المسؤول المخادع.

يشير تكوين JSON إلى أربع آليات للاستمرارية، باستخدام cronjobs، وLaunchAgents (مما يؤدي إلى التنفيذ عند تسجيل الدخول)، وتعديل ملف لضمان التنفيذ عند فتح جلسة ZSH جديدة وإضافة الثنائي إلى قفص الاتهام.

تم اكتشاف متغير ثالث للباب الخلفي، ويبدو أنه الإصدار الأصلي. إنه يفتقر إلى التعقيد وبرنامج Apple النصي والتكوين المضمن الموجود في متغيرات RustDoor الأخرى.

تستخدم البرمجيات الخبيثة ثلاثة خوادم C&C مرتبطة سابقًا بحملات Black Basta وAlphv/BlackCat Ransomware. ظهر برنامج BlackCat، وهو أول برنامج فدية مشفر للملفات بلغة البرمجة Rust، في عام 2021 وتم تفكيكه في ديسمبر 2023.

قد يكون لهجمات البرامج الضارة من الباب الخلفي تداعيات خطيرة على الضحايا

يشكل وجود برامج ضارة خلفية على أجهزة المستخدمين مخاطر كبيرة ومتنوعة، لأنه يمنح الوصول غير المصرح به للجهات الفاعلة الخبيثة. فيما يلي بعض المخاطر المحتملة المرتبطة بإصابة أجهزة المستخدمين ببرمجيات خبيثة:

  • الوصول والتحكم غير المصرح به : توفر الأبواب الخلفية نقطة دخول سرية للمهاجمين، مما يسمح لهم بالوصول غير المصرح به إلى الجهاز المصاب. وبمجرد دخولهم، يمكنهم التحكم في وظائف مختلفة، ومعالجة الملفات، وتنفيذ الأوامر دون علم المستخدم أو موافقته.
  • سرقة البيانات وترشيحها : غالبًا ما تتيح الأبواب الخلفية سرقة وتسلل البيانات الحساسة المخزنة على الجهاز المخترق. يمكن للمهاجمين الوصول إلى المعلومات الشخصية والبيانات المالية وبيانات اعتماد تسجيل الدخول وغيرها من البيانات السرية، مما يؤدي إلى احتمال سرقة الهوية أو الخسارة المالية أو انتهاك الخصوصية.
  • التجسس والمراقبة : عادة ما ترتبط البرمجيات الخبيثة في الأبواب الخلفية بأنشطة التجسس. يمكن للمهاجمين استخدام الباب الخلفي للتجسس على المستخدمين، ومراقبة أنشطتهم، والتقاط لقطات الشاشة، وتسجيل ضغطات المفاتيح، وحتى الوصول إلى كاميرات الويب أو الميكروفونات، مما يعرض خصوصية المستخدمين للخطر.
  • نشر برامج الفدية : تُستخدم الأبواب الخلفية أحيانًا كبوابة لنشر برامج الفدية. بمجرد وصول المهاجمين عبر باب خلفي، قد يقومون بتشفير ملفات المستخدم والمطالبة بفدية مقابل إطلاق سراحهم، مما يتسبب في تعطيل كبير وخسارة مالية.
  • التلاعب بالنظام وتعطيله : يمكن أن تسمح الأبواب الخلفية للمهاجمين بالتلاعب بإعدادات النظام، أو تعطيل العمليات العادية، أو حتى تعطيل الإجراءات الأمنية. يمكن أن يؤدي هذا في النهاية إلى عدم استقرار النظام وتعطله ويجعل من الصعب على المستخدمين استخدام أجهزتهم بفعالية.
  • الانتشار وانتشار الشبكة : تتمتع بعض الأبواب الخلفية بقدرات النسخ الذاتي، مما يسمح لها بالانتشار عبر الشبكات وإصابة الأجهزة الأخرى. يمكن أن يؤدي هذا إلى اختراق شبكات بأكملها، مما يؤثر على العديد من المستخدمين والمؤسسات.
  • أمان الشبكة المعرض للخطر : يمكن استخدام الأبواب الخلفية لتجاوز إجراءات أمان الشبكة، مما يسهل على المهاجمين التسلل إلى الشبكات التنظيمية الأوسع. يمكن أن يؤدي هذا إلى انتهاكات أمنية إضافية ويضر بسلامة المعلومات الحساسة الخاصة بالشركة أو الحكومة.

وللتخفيف من هذه المخاطر، من المهم للمستخدمين استخدام تدابير قوية للأمن السيبراني، بما في ذلك تحديثات البرامج المنتظمة، واستخدام برامج مكافحة الفيروسات ذات السمعة الطيبة، وممارسة السلوكيات الآمنة عبر الإنترنت لتجنب الوقوع ضحية لهجمات البرامج الضارة. بالإضافة إلى ذلك، يجب على المؤسسات تنفيذ بروتوكولات أمان الشبكة القوية لاكتشاف التهديدات المحتملة والتعامل معها على الفور.

الشائع

الأكثر مشاهدة

احتيال البريد الإلكتروني "Geek Squad"

Phishing, Spam
33,031
أصبح Geek Squad ، وهو مزود دعم تقني شهير ، ضحية لعملية احتيال تصيد احتيالية تسمى Geek Squad Email الاحتيال. تستخدم عملية احتيال الدعم الفني هذه رسائل بريد إلكتروني مزيفة تخدع الأشخاص للتخلي عن معلوماتهم الشخصية ، مثل تفاصيل بطاقة الائتمان وعناوين البريد الإلكتروني وحتى أرقام الضمان الاجتماعي. في هذه المقالة ، سنناقش عملية الاحتيال نفسها ، وشكلها ، ومن أين تأتي رسائل البريد الإلكتروني المزيفة ،...
جار التحميل...