חברת אבטחת הסייבר קספרסקי מתארת את התוכנה הזדונית של GravityRAT כ"שמצהית "משום שהיא שימשה בהתקפות אפילו נגד יעדים צבאיים ומאפשרת שליטה רבה. עד היום נגיף זה היה זמין רק עבור מחשבי Windows ומכשירי אנדרואיד. עם זאת, ולמרות של- Mac יש מערכות הפעלה פחות פגיעות מאחרות, אין זה אומר שלא ניתן לתקוף אותן. למעשה, הנגיף המסוכן הזה כבר הגיע ל- macOS.
קצת רקע על תוכנות זדוניות של GravityRAT
בשנת 2018 פרסמו חוקרי סיסקו טאלוס כי נעשה שימוש בתוכנות ריגול GravityRAT לתקיפת הכוחות המזוינים ההודים. צוות תגובת החירום למחשבים של אותה מדינה (CERT-IN) גילה את הטרויאני לראשונה בשנת 2017. היוצרים שלה נחשבים כקבוצות האקרים פקיסטניות. הקמפיין היה פעיל לפחות משנת 2015 וכוון בעבר למכונות Windows. עם זאת, היא עברה שינויים בשנת 2018 ומכשירי אנדרואיד נוספו לרשימת היעד.
בשנת 2019, פושעי רשת הוסיפו מודול ריגול ל- Travel Mate, אפליקציית Android למטיילים בהודו, שקוד המקור שלה זמין ב- Github. הם הוסיפו קוד זדוני ושמו אותו ל- Travel Mate Pro.
פונקציות התוכנה רגילות למדי. שלח לשרת הניהול שלך נתוני מכשיר המכילים:
- רשימה אנשי קשר
- הכתובת של דואר אלקטרוני
- הרשומות של שיחות והודעות סמס
- קבל אחד רשימת תהליכים פועלים
- לעכב הקשות
- לקחת צילומי מסך
- לָרוּץ פקודות פגז שרירותי
- הקלט שמע (לא מיושם בגרסה זו)
- סריקת יציאות
- הטרויאני מחפש קבצים עם סיומות .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx ו- .opus ב- זיכרון המכשיר והמדיה המחוברת, וגם שולח אותם לשרת הניהול.
בשנת 2019 פרסם "The Times of India" א מאמר על השיטות שעברייני רשת נהגו להפיץ את GravityRAT בשנים 2015-2018. אני יודע פנה לקורבנות מחשבון פייסבוק מזויף והם התבקשו להתקין יישום זדוני שהתחפש לשליח מאובטח כדי להמשיך בשיחה. כ100- מקרי זיהום זוהו במחלקות הביטחון, במשטרה ובארגונים אחרים.
הגעת תוכנות ריגול למחשבי המק שלנו
קספרסקי חשד זה מכבר שהכלי נמצא בשימוש כנגד פלטפורמות אחרות, וכעת הוא מצא ראיות לכך. ניתוח מודול הכתובת לפיקוד ובקרה (C&C) שהשתמש בו חשף מספר מודולים זדוניים נוספים. באופן כללי, סמצאתי יותר מ -10 גרסאות של GravityRAT, מופץ במסווה של יישומים לגיטימיים, כגון יישומי שיתוף קבצים מאובטחים שיעזרו להגן על מכשירי המשתמשים מפני סוסים טרויאניים מוצפנים או נגני מדיה. בשימוש יחד, מודולים אלה אפשרו לקבוצה לגשת למערכת ההפעלה macOS.
מחשבי מקינטוש מוגנים יחסית מפני סוסים טרויאניים מכיוון שאפל בודקת את היישומים המותרים ב- Mac App Store וכברירת מחדל אינה מאפשרת התקנת תוכנה ממקורות אחרים. אם משתמש עוקף את הגנת ברירת המחדל, macOS עדיין בודקת אם האפליקציה חתומה על ידי מפתח לגיטימי. על כל פנים, מטלפן מדווח כי הקבוצה שעומדת מאחורי GravityRAT משתמשת בחתימות מפתח גנובות כדי לגרום לאפליקציות להיראות לגיטימיות.
לא ניתן לרשום אפליקציות נגועות, כאשר GravityRAT מחקה מגוון יישומים לגיטימיים. ההגנה הטובה ביותר היא לוודא שאתה מתקין רק אפליקציות מחנות האפליקציות של Mac או ישירות ממפתחים שאתה סומך עליהם. כמו כן, אל תחבר כבלים או התקנים ל- Mac שלך אלא אם כן אתה יודע מאיפה הם הגיעו.
מומחים מבטיחים כי כיום מפתחי וירוס הריגול הזה להמשיך לשמור על אותן שיטות העברה של אותו, כלומר, רצוי באמצעות קישורים זדוניים המוכנסים לפוסטים ברשתות החברתיות. אז בואו נמשיך להיות זהירים. אנו לא מורידים יישומים ממקומות שאינם מופעלים או לפחות מאתרים שאינם מאומתים ברמת האבטחה. אל לנו לעקוב אחר קישורים מוזרים שאיננו יודעים מאיפה הם באים. אם נמשיך כך נשמור את הרהיטים.
