تصف شركة الأمن السيبراني Kaspersky برنامج GravityRAT بأنه "سيئ السمعة" لأنه تم استخدامه في الهجمات حتى ضد الأهداف العسكرية ويسمح بتحكم كبير. حتى اليوم ، كان هذا الفيروس متاحًا فقط لأجهزة الكمبيوتر التي تعمل بنظام Windows وأجهزة Android. ومع ذلك ، وعلى الرغم من أن أجهزة Mac لديها أنظمة تشغيل أقل ضعفًا من غيرها ، فإن هذا لا يعني أنه لا يمكن مهاجمتها. في الحقيقة، لقد وصل هذا الفيروس الخطير بالفعل إلى macOS.
خلفية صغيرة حول البرامج الضارة GravityRAT
في عام 2018 ، نشر باحثو سيسكو تالوس أن برامج التجسس GravityRAT كانت تُستخدم لمهاجمة القوات المسلحة الهندية. اكتشف فريق الاستجابة للطوارئ الحاسوبية (CERT-IN) في ذلك البلد حصان طروادة لأول مرة في عام 2017. ويعتقد أن منشئوها هم مجموعات قراصنة باكستانية. كانت الحملة نشطة منذ عام 2015 على الأقل واستهدفت سابقًا أجهزة Windows. ومع ذلك ، فقد خضعت لتغييرات في عام 2018 ، وأضيفت أجهزة Android إلى قائمة الهدف.
في عام 2019 ، أضاف مجرمو الإنترنت وحدة تجسس إلى Travel Mate ، وهو تطبيق يعمل بنظام Android للمسافرين إلى الهند ، ويتوفر كود المصدر الخاص به على Github. أضافوا رمزًا ضارًا وأعادوا تسميته Travel Mate Pro.
وظائف البرنامج عادية تمامًا. أرسل إلى خادم الإدارة الخاص بك تحتوي بيانات الجهاز على:
- قائمة الاتصالات
- عنوان البريد الإلكتروني
- سجلات المكالمات والرسائل SMS.
- الحصول على قائمة العمليات الجارية
- تقاطع ضربات المفاتيح
- أخذ لقطات
- جولة أوامر شل اعتباطيا
- تسجيل الصوت (غير مطبق في هذا الإصدار)
- فحص المنافذ
- يبحث حصان طروادة عن الملفات ذات الامتدادات .jpg و .jpeg و .log و .png و .txt و .pdf و .xml و .doc و .xls و .xlsx و .ppt و .pptx و .docx و .opus في ذاكرة الجهاز والوسائط المتصلة ، ويرسلها أيضًا إلى خادم الإدارة.
في عام 2019 ، نشرت "The Times of India" أ نوبة حول الأساليب التي استخدمها مجرمو الإنترنت لتوزيع GravityRAT في 2015-2018. أنا أعرف الضحايا الذين تم الاتصال بهم من حساب Facebook مزيف وطُلب منهم تثبيت تطبيق ضار متخفي في هيئة برنامج مراسلة آمن لمواصلة المحادثة. تم تحديد حوالي 100 حالة إصابة في إدارات الدفاع والشرطة ومنظمات أخرى.
وصول برامج التجسس إلى أجهزة Mac الخاصة بنا
لطالما اشتبهت Kaspersky في أن الأداة كانت تُستخدم ضد منصات أخرى ، والآن وجدت أدلة على ذلك. كشف تحليل وحدة عنوان القيادة والتحكم (C&C) المستخدمة عن عدة وحدات خبيثة إضافية. بشكل عام ، sعثر e على أكثر من 10 إصدارات من GravityRAT ، يتم توزيعها تحت ستار التطبيقات المشروعة ، مثل تطبيقات مشاركة الملفات الآمنة التي من شأنها أن تساعد في حماية أجهزة المستخدمين من أحصنة طروادة المشفرة أو مشغلات الوسائط. عند استخدامها معًا ، سمحت هذه الوحدات للمجموعة بالوصول إلى نظام التشغيل macOS.
تتمتع أجهزة Mac بحماية جيدة نسبيًا ضد أحصنة طروادة نظرًا لأن Apple تراجع التطبيقات المسموح بها على Mac App Store ولا تسمح افتراضيًا بتثبيت البرامج من مصادر أخرى. إذا تجاوز المستخدم الحماية الافتراضية ، فسيظل macOS يتحقق لمعرفة ما إذا كان التطبيق موقّعًا بواسطة مطور شرعي. مع ذلك، BleepingComputer تشير التقارير إلى أن المجموعة التي تقف وراء GravityRAT تستخدم توقيعات مطورين مسروقة لجعل التطبيقات تبدو شرعية.
تعذر سرد التطبيقات المصابة، لأن GravityRAT يحاكي مجموعة متنوعة من التطبيقات المشروعة. أفضل حماية هي التأكد من أنك تقوم فقط بتثبيت التطبيقات من Mac App Store أو مباشرة من المطورين الذين تثق بهم. وبالمثل ، لا تقم بتوصيل الكابلات أو الأجهزة بجهاز Mac الخاص بك إلا إذا كنت تعرف من أين أتت.
يؤكد الخبراء أن مطوري فيروس التجسس هذا حاليًا الاستمرار في الحفاظ على نفس طرق الإرسال ، أي من خلال الروابط الخبيثة المدرجة في منشورات وسائل التواصل الاجتماعي بشكل مفضل. لذلك دعونا نظل حذرين. دعونا لا ننزل التطبيقات من أماكن غير ممكّنة أو على الأقل من مواقع لم يتم التحقق منها على مستوى الأمان. دعونا لا نتبع الروابط الغريبة التي لا نعرف من أين أتوا. إذا استمرينا على هذا المنوال ، فسنوفر الأثاث.
