تمكن باحثو كاسبرسكي من تحديد نسخة من الباب الخلفي HZ Rat المخصص لنظام macOS، وتستهدف النسخة مستخدمي تطبيقي WeChat وDingTalk، وهما منصتا مراسلة صينيتين شهيرتين.
اكتُشفت البرمجية الخبيثة لأول مرة على نظام Windows، والآن تهدد نظام macOS، مما يسمح بالحركة الجانبية داخل الشبكات وسرقة البيانات.
تطبيق OpenVPN Connect
يُنشر إصدار الباب الخلفي HZ Rat لنظام macOS من خلال أداة تثبيت مزيفة لتطبيق OpenVPN Connect. وتحتوي أداة التثبيت هذه على عميل شبكة خاصة افتراضية (VPN) مشروع، بجانب ملفين خبيثين، وهما الباب الخلفي نفسه ونص برمجي لتشغيل الباب الخلفي مع عميل الشبكة الخاصة الافتراضية. بمجرد بدء تشغيل الباب الخلفي، يتم الاتصال بخادم المهاجمين بواسطة قائمة محددة مسبقاً من عناوين بروتوكول إنترنت، مع تشفير جميع الاتصالات لتجنب اكتشافها.
البرمجيات الخبيثة
قال سيرجي بوزان، محلل البرمجيات الخبيثة لدى كاسبرسكي: «أظهر تحليل خبراء كاسبرسكي أن الباب الخلفي لنظام التشغيل macOS يجمع معلومات عن الضحايا مثل اسم المستخدم، وعنوان البريد الإلكتروني الخاص بالعمل، ورقم الهاتف من ملفات البيانات غير المحمية لتطبيقي DingTalk وWeChat.وفي حين أن البرمجيات الخبيثة تجمع البيانات فقط حالياً، إلا أن بعض الإصدارات تستخدم عناوين بروتوكول إنترنت محلية للتواصل مع خادم المهاجمين، مما يشير لإمكانية الحركة الجانبية داخل شبكة الضحية. كما يشير هذا لاحتمالية تخطيط المهاجمين لهجمات موجهة.»
منصة DCSO
اكتُشف الباب الخلفي HZ Rat لأول مرة في شهر نوفمبر 2022، عندما اكتشف باحثو منصة DCSO إصداراً من البرمجية الخبيثة لنظام Windows. ويدل اكتشاف نسخة macOS HZ Rat على أن المجموعة المسؤولة عن الهجمات السابقة لنظام التشغيل Windows لا تزال نشطة. ورغم أن أهدافهم النهائية ليست واضحة بعد، إلا أن البيانات السابق جمعها قد تُستخدم لتكوين تصورات استخبارية لشن هجمات مستقبلية.
توصيات كاسبرسكي
لتخفيف مخاطر الإصابة ببرمجيات خبيثة مثل HZ Rat، توصي كاسبرسكي بما يلي:
• من الأكثر أماناً أن تنزل التطبيقات من المتاجر الرسمية فقط. ورغم أن التطبيقات من هذه المتاجر ليست آمنة بالكامل، إلا أن ممثلي المتجر يقومون بفحصها وفلترتها قبل السماح بعرضها على متاجرهم على الأقل، فلا تُعرض جميع التطبيقات في هذه المتاجر.
• اتبع نهجاً وقائياً للعناية بحمايتك وفكر في خيارات تحصين إضافية. استخدم حلول أمن سيبراني قوية للحد من استخدام التطبيقات، والمواقع الإلكترونية، مما يقلل بشكل كبير من مخاطر الإصابة، بما يشمل حالات استخدام تكنولوجيا المعلومات دون علم المسؤولين أو ارتكاب أخطاء بسبب نقص عادات الأمان السيبراني.
• لحماية الشركة من مجموعة واسعة من التهديدات، استخدم حلاً من خط منتجات Kaspersky Next لتوفير حماية في الوقت الفعلي، ورؤية التهديدات، وقدرات تحقيق واستجابة لكل من حلول الاكتشاف والاستجابة للنقاط الطرفية (EDR) وحلول الاكتشاف والاستجابة الموسعة (XDR) للمؤسسات أياً كان حجمها وصناعتها. اعتماداً على احتياجاتك الحالية ومواردك المتاحة، يمكنك اختيار الفئة الملائمة لحل الأمن السيبراني والانتقال لفئة أخرى إذا تغيرت متطلبات الأمن السيبراني خاصتك.
• استخدم حل أمنياً قوياً عبر جميع الحواسيب الشخصية والأجهزة المحمولة لديك، مثل حل Kaspersky Premium.
• تأكد من تحديث البرمجيات عبر جميع أجهزتك دورياً لمنع المهاجمين من استغلال الثغرات الأمنية لاختراق شبكتك.