ضربة JaskaGO المنسقة على نظامي التشغيل MacOS وWindows

جالب الأخبار19 ديسمبر,2023

11 6 دقائق

ملخص تنفيذي

في التطورات الأخيرة، اكتشفت AT&T Alien Labs سلالة متطورة لسرقة البرمجيات الخبيثة تم تصميمها بلغة البرمجة Go، مما يشكل تهديدًا خطيرًا لكل من أنظمة التشغيل Windows وmacOS.

اعتبارًا من وقت نشر هذه المقالة، تتمتع حلول مكافحة الفيروسات التقليدية بمعدلات اكتشاف منخفضة أو حتى معدومة، مما يجعلها خصمًا خفيًا وقويًا.

الماخذ الرئيسية:

تم تجهيز البرامج الضارة بمجموعة واسعة من الأوامر من خادم القيادة والتحكم (C&C).
يمكن أن يستمر JaskaGO بطرق مختلفة في النظام المصاب.
ويواجه المستخدمون مخاطر متزايدة لتسوية البيانات حيث تتفوق البرامج الضارة في سرقة المعلومات القيمة، بدءًا من بيانات اعتماد المتصفح إلى تفاصيل محفظة العملة المشفرة وملفات المستخدم الحساسة الأخرى.

خلفية

يساهم JaskaGO في الاتجاه المتزايد في تطوير البرامج الضارة من خلال الاستفادة من لغة البرمجة Go. تشتهر Go، المعروفة أيضًا باسم Golang، ببساطتها وكفاءتها وإمكانياتها عبر الأنظمة الأساسية. إن سهولة استخدامه جعلته خيارًا جذابًا لمؤلفي البرامج الضارة الذين يسعون إلى إنشاء تهديدات متعددة الاستخدامات ومتطورة.

على الرغم من أن نظام التشغيل macOS غالبًا ما يُنظر إليه على أنه نظام تشغيل آمن، إلا أن هناك اعتقادًا خاطئًا سائدًا بين المستخدمين بأنه محصن ضد البرامج الضارة. تاريخيًا، نشأ هذا الاعتقاد الخاطئ من الندرة النسبية للتهديدات التي تستهدف نظام التشغيل macOS مقارنة بالمنصات الأخرى. ومع ذلك، يعد JaskaGO بمثابة تذكير صارخ بأن مستخدمي Windows وmacOS معرضون دائمًا لخطر هجمات البرامج الضارة.

نظرًا لأن استخدام البرامج الضارة لأسماء الملفات التي تشبه التطبيقات المعروفة (مثل “Capcut_Installer_Intel_M1.dmg” و”Anyconnect.exe”) يشير إلى استراتيجية مشتركة لنشر البرامج الضارة تحت ستار البرامج الشرعية في صفحات ويب التطبيقات المقرصنة.

تمت ملاحظة أول عينة من JaskaGo في يوليو 2023، واستهدفت في البداية مستخدمي Mac. بعد هذا الهجوم الافتتاحي، تم التعرف على العشرات من العينات الجديدة حيث أدى التهديد إلى تطوير قدراته وتطويره في كل من إصدارات macOS وWindows؛ ويتجلى معدل اكتشافه المنخفض في العينة الأخيرة التي تم الحصول عليها بواسطة محركات مكافحة الفيروسات. (شكل 1)

جاسكا جو في تي .

الشكل 1. كما تم التقاطه بواسطة Alien Labs: اكتشاف برامج مكافحة الفيروسات لعينات JaskaGO الحديثة داخل VirusTotal.

تحليل

عند التنفيذ الأولي، تقدم البرامج الضارة بشكل ماكر مربع رسائل خادعًا، يعرض رسالة خطأ زائفة، ويطالب بملف مفقود. تم تصميم هذا بشكل استراتيجي لتضليل المستخدم للاعتقاد بأن التعليمات البرمجية الضارة فشلت في التشغيل. (الشكل 2)

JaskaGO رسالة وهمية

الشكل 2. كما تم التقاطه بواسطة Alien Labs: رسالة خطأ وهمية.

مكافحة VM

تجري البرامج الضارة فحوصات شاملة لتحديد ما إذا كانت تعمل ضمن جهاز افتراضي (VM). تبدأ هذه العملية بفحص معلومات الجهاز العامة، حيث يتم وضع معايير محددة مثل عدد المعالجات ووقت تشغيل النظام وذاكرة النظام المتوفرة و ماك يتم فحص العناوين. يعد وجود عناوين MAC المرتبطة ببرامج VM المعروفة، مثل VMware أو VirtualBox، مؤشرًا رئيسيًا. (الشكل 3)

جاسكاجو ماك

الشكل 3. كما تم التقاطه بواسطة Alien Labs: البحث عن عناوين MAC ذات الصلة بالجهاز الافتراضي.

بالإضافة إلى ذلك، يبحث إصدار Windows الخاص بالبرنامج الضار عن الآثار المتعلقة بالجهاز الافتراضي في كل من السجل ونظام الملفات. (الشكل 4)

آثار JaskaGO

الشكل 4. كما تم التقاطه بواسطة Alien Labs: البحث عن الملفات ذات الصلة بالجهاز الظاهري.

إذا اكتشفت البرامج الضارة أنها تعمل في بيئة افتراضية، فإنها تنفذ بشكل عشوائي أحد الأوامر التالية:

بينغ جوجل.
قم بإنشاء ملف على سطح المكتب (على سبيل المثال، config.ini).
قائمة الملفات الموجودة على سطح مكتب المستخدم.
قائمة عناوين IP المحلية.
قم بإجراء طلب HTTP GET بسيط إلى https://www.web3api.com.
طباعة رقم عشوائي.
قم بإنشاء دليل باسم عشوائي في الدليل الرئيسي للمستخدم.
طباعة سلسلة عشوائية.

JaskaGO مهمة عشوائية

الشكل 5. كما تم التقاطه بواسطة Alien Labs: تنفيذ مهمة عشوائية.

التعامل مع أوامر C&C

إذا تم تجاوز اكتشاف VM، يتابع JaskaGO جمع المعلومات من الضحية وينشئ اتصالاً بقيادته وسيطرته لمزيد من الإجراءات. (الشكل 6)

جاسكاجو c2c

الشكل 6. كما تم التقاطه بواسطة Alien Labs: التواصل مع C&C.

تستعلم البرامج الضارة باستمرار عن معلوماتها القيادة والسيطرة الخادم، في انتظار التعليمات. تتضمن الأوامر المحتملة ما يلي:

إنشاء ثبات للبرامج الضارة (التفاصيل في القسم التالي).
وظائف السرقة: جمع المعلومات من الجهاز المصاب ونقلها إلى الجهاز القيادة والسيطرة الخادم.
تنفيذ الأمر والتحكم.
تنفيذ أوامر الصدفة.
عرض رسائل التنبيه.
استرداد قائمة العمليات قيد التشغيل.
تنفيذ الملفات على القرص أو في الذاكرة.
الكتابة إلى الحافظة: أسلوب شائع لسرقة أموال العملات المشفرة.
تنفيذ مهمة عشوائية (مثل تلك الموجودة في قسم الكشف عن الأجهزة الافتراضية).
تنزيل وتنفيذ حمولات إضافية.
البدء بعملية الخروج (النفس).
بدء عملية الخروج وحذف نفسها.

سارق

تم تجهيز JaskaGO بإمكانيات واسعة النطاق لاستخلاص البيانات. فهو يقوم بتخزين البيانات المكتسبة في مجلد تم إنشاؤه خصيصًا، ثم يقوم بضغطها وإرسالها إلى جهة التهديد الخاصة بالبرامج الضارة عندما تكون جاهزة.

سارق المتصفح
في حين أن الدعم الافتراضي يتضمن سرقة المعلومات من متصفحي Chrome وFirefox، إلا أنه يمكن تكوين البرامج الضارة لاستهداف متصفحات إضافية. تتضمن معلومات المتصفح المجمعة ما يلي:

بيانات اعتماد المتصفح.
تاريخ.
ملفات تعريف الارتباط: الملفات والمجلدات – “ملفات تعريف الارتباط”، “ملفات تعريف الارتباط.sqlite”، “الشبكة”.
مفاتيح تشفير كلمة المرور key4.db – يخزن المفتاح الرئيسي لفك تشفير جميع كلمات المرور المخزنة في تسجيلات الدخول.json.
ملفات التعريف (profile.ini، ^Profile\d+$).
معلومات تسجيل الدخول – مجلد “بيانات تسجيل الدخول”.

سارق العملات المشفرة

تبحث البرامج الضارة عن ملحق محافظ التشفير للمتصفحات ضمن مجلد ملحق المتصفح “إعدادات الامتداد المحلي”. بالإضافة إلى ذلك، فهو يدعم استلام قائمة المحافظ للبحث عنها وتحميلها على الخادم.

ملفات

يمكن أن تتلقى البرامج الضارة قائمة بالملفات والمجلدات المراد تصفيتها.

آليات الثبات

شبابيك

في إصدار Windows، تقوم البرامج الضارة بتثبيت الثبات من خلال طريقتين:

إنشاء الخدمة: تقوم البرامج الضارة بإنشاء خدمة وتبدأ في تنفيذها.
“ملفات تعريف Windows Terminal”: غير شائعة ولكنها فعالة، يقوم JaskaGO بإنشاء ملف تعريف Windows Terminal عن طريق إنشاء الملف “C:\users$env:UserName\AppData\Local\Packages\Microsoft.WindowsTerminal_*\LocalState\settings.json.” تم تكوين هذا الملف ليتم تشغيله تلقائيًا عند إعادة تشغيل Windows، وإطلاق عملية PowerShell لتنفيذ البرامج الضارة. ويمكن الاطلاع على مزيد من التفاصيل حول هذه التقنية هنا. (الشكل 7)

استمرار JaskaGO في نظام التشغيل Windows

الشكل 7. كما تم التقاطه بواسطة Alien Labs: ثبات Windows.

ماك

على نظام التشغيل macOS، يستخدم JaskaGO عملية متعددة الخطوات لتحقيق الثبات داخل النظام:

التنفيذ كجذر: يبدأ البرنامج الضار تنفيذه بمحاولة تشغيل نفسه باستخدام امتيازات الجذر.
تعطيل برنامج حماية البوابة: يتم تعطيل برنامج حماية البوابة، وهي إحدى ميزات الأمان في نظام التشغيل macOS، بشكل منهجي بواسطة البرامج الضارة باستخدام الأمر “spctl –master-disable“. ويهدف هذا الإجراء إلى تجاوز الفحوصات الأمنية وتسهيل التشغيل دون عوائق.
يكرر JaskaGO نفسه، ويعتمد تنسيق الاسم “com.%s.appbackgroundservice،” مع استبدال %s بسلسلة يتم إنشاؤها عشوائيًا. يساعد أسلوب إعادة التسمية هذا في التعتيم على وجود البرامج الضارة على النظام.
إنشاء LaunchDaemon / LaunchAgent: لضمان الاستمرارية، بناءً على الوصول الناجح إلى الجذر، تقوم البرامج الضارة بإنشاء LaunchDaemon “/Library/LaunchDaemons/Init.plist” (إذا كان الجذر) أو LaunchAgent “/Library/LaunchAgents/service.plist” (إن لم يكن الجذر). ويضمن هذا التكوين إطلاق البرامج الضارة تلقائيًا أثناء بدء تشغيل النظام، مما يؤدي إلى دمجها بشكل أكبر في بيئة macOS. (الشكل 8)

استمرار JaskaGO في MAC

الشكل 8. كما تم التقاطه بواسطة Alien Labs: ثبات نظام التشغيل macOS.

خاتمة

يُعد JaskaGO، وهو تهديد متعدد المنصات، مثالًا مقنعًا على مشهد التهديدات المتطور. إنه يتحدى المفهوم السائد على نطاق واسع حول حصانة macOS، ويسلط الضوء على الثغرة الأمنية المشتركة لكل من أنظمة Windows وmacOS. باستخدام تكتيكات متطورة لمكافحة الأجهزة الافتراضية، يتجنب JaskaGO التحليل التلقائي، مما يجعله تحديًا هائلاً للكشف. وتكشف آليات الاستمرارية الخاصة بها عن جهد حازم لدمج نفسها داخل الأنظمة، في حين تعمل قدرات السرقة الخاصة بها على تحويل البرامج الضارة إلى تهديد خطير، حيث تستخرج المعلومات الحساسة من الضحايا المطمئنين.

المؤشرات المرتبطة (IOCs)

ترتبط المؤشرات الفنية التالية بالمعلومات الاستخبارية المبلغ عنها. قائمة المؤشرات متاحة أيضًا في نبض أوتكس. يرجى ملاحظة أن النبض قد يتضمن أنشطة أخرى ذات صلة ولكنها خارج نطاق التقرير.

يكتب

مؤشر

وصف

SHA256

7bc872896748f346fdb2426c774477c4f6dcedc9789a44bd9d3c889f778d5c4b