تطبيق حافظة ماك المزيف يقدم برنامج ضار جديد لسرقة كلمات المرور
يستهدف مستخدمو ماك الذين يبحثون عن مدير الحافظة مفتوح المصدر "Maccy" نسخة مزيفة من التطبيق التي تثبت برنامج ضار جديد يعتمد على لغة Rust يُعرف باسم "PamStealer"، وفقًا لشركة الأمن السيبراني "Jamf Threat Labs". إذا نجح البرنامج الضار، فقد يتمكن من سرقة كلمات مرور المستخدمين ومفاتيح محافظ العملات المشفرة.
في تقرير نُشر يوم الخميس، قالت "Jamf Threat Labs" إن الحملة تستخدم موقعًا مشابهًا لتوزيع صورة قرص تحتوي على ملف AppleScript ضار يُدعى "Maccy.scpt". عند فتحه، يعرض الملف تعليمات تخبر المستخدمين بتشغيله في محرر النصوص الخاص بشركة آبل مع إخفاء الشيفرة الضارة في أسفل الوثيقة.
"نحن نتتبع هذا البرنامج الضار تحت اسم "PamStealer" بعد أحد سلوكياته الأساسية: التحقق من كلمة مرور تسجيل دخول الضحية من خلال وحدات المصادقة القابلة للتوصيل في macOS (PAM) قبل جمعها"، كتبت "Jamf Threat Labs".
من هناك، يستخدم البرنامج الضار JavaScript لأتمتة العمليات وواجهات برمجة التطبيقات الأصلية في macOS لتنزيل حمولة المرحلة الثانية دون الاعتماد على أدوات الصدفة الشائعة مثل curl أو zsh، مما يقلل من عدد العمليات التي يمكن لأدوات الأمان مراقبتها.
"مع العديد من برامج السرقة، رأينا المهاجمين يشترون مساحة إعلانات جوجل لجذب المستخدمين إلى التطبيق الضار. لقد لاحظنا مؤخرًا إعلانات ضارة تُستضاف على X أيضًا"، قال مدير "Jamf Threat Labs" "جارون برادلي" لموقع Decrypt. "لقد أثبتت هذه التقنيات الهندسية الاجتماعية أنها ناجحة للغاية."
وفقًا للتقرير، فإن المرحلة الثانية هي ثنائية تعتمد على Rust مصممة لأجهزة ماك ذات معمارية Apple Silicon تتنكر في شكل Finder أو تحديث البرنامج.
"بدلاً من تخزين تكوينه بنص واضح، يستمد المُسقط مفتاحًا من بصمة المضيف---بما في ذلك معمارية وحدة المعالجة المركزية، واللغة، وتخطيط لوحة المفاتيح، والمنطقة الزمنية---ويستخدمه لفتح تكوين مشفر ومُتحقق من سلامته يحتوي على عنوان URL للحمولة وطريق التثبيت"، قالت الشركة.
بمجرد التثبيت، يمكن للبرنامج الضار سرقة بيانات اعتماد المتصفح وبيانات Keychain، ومراقبة محتويات الحافظة، وإقامة استمرارية، وإرسال المعلومات المسروقة إلى خادم التحكم عن بُعد باستخدام اتصالات مشفرة. إذا لم يتمكن من التحقق من أنه يعمل على الهدف المقصود، فإنه يغلق نفسه بهدوء.
كما يحاول البرنامج الضار توسيع وصوله من خلال عرض تنبيه مزيف من Finder يطلب من المستخدمين منح الوصول الكامل إلى القرص. يمكن أن يظهر هذا الطلب حتى 40 دقيقة بعد الإصابة، مما يجعل من غير المحتمل أن يربط المستخدمون بينه وبين التنزيل الأصلي. إذا تمت الموافقة عليه، يمكن للبرنامج الضار الوصول إلى البيانات المحمية، بما في ذلك البريد، والرسائل، ونسخ Time Machine الاحتياطية.
وفقًا لبرادلي، لم تلاحظ "Jamf" أي دليل على أن "PamStealer" نشط في البرية؛ ومع ذلك، أبلغت الشركة آبل عن نتائجها. لم تستجب آبل على الفور لطلب التعليق من Decrypt.
قالت "Jamf" إنها ترى تقنيات الهندسة الاجتماعية المماثلة تنتشر إلى منصات أخرى.
في منشور على X الأسبوع الماضي، قالت الشركة إنها تحقق في إعلان مدفوع على X يروج لـ "DynamicLake" الذي أعاد توجيه المستخدمين إلى dynamicmacisland.com، حيث تم توجيههم لفتح Terminal وتنفيذ أمر تثبيت.
"تم تسليم الإعلان من خلال حساب موثق على X، مما أضاف طبقة أخرى من الثقة إلى الهندسة الاجتماعية"، كتبت الشركة. "أظهر تحليل الحمولة أن هناك نوعًا حديثًا من "Atomic (MacSync) Stealer".
تأتي هذه النتائج في وقت يزداد فيه المهاجمون في تمويه البرامج الضارة كبرامج شرعية واستغلال منصات المطورين الموثوقة وقنوات الإعلان. شملت الحملات الأخيرة مستودع OpenAI مزيف وصل إلى قمة مشاريع Hugging Face الرائجة قبل توزيع برنامج ضار يعتمد على Rust، وملحق Visual Studio Code ضار قال GitHub إنه كشف حوالي 3800 مستودع داخلي، وحملة سلسلة توريد البرمجيات "Shai-Hulud" التي تستهدف أدوات التطوير المستخدمة من قبل شركات الذكاء الاصطناعي بما في ذلك OpenAI وMistral AI.





