برنامج MacSync Stealer: برنامج خبيث صامت يتجاوز أمان نظام macOS

  • يتم توزيع برنامج MacSync Stealer كتطبيق Swift موقع وموثق من قبل Apple، متظاهراً بأنه برنامج تثبيت مراسلة شرعي.
  • يتخلى الإصدار الجديد عن تقنيات من نوع ClickFix ويعتمد على العدوى التلقائية تقريبًا، مع تدخل المستخدم بشكل ضئيل.
  • يستخدم البرنامج الخبيث صور DMG المتضخمة والتغييرات التقنية في تنزيل الحمولة لتجاوز الضوابط مثل Gatekeeper و XProtect.
  • قامت شركة آبل بإلغاء الشهادات المعنية، لكن الخبراء يحذرون من وجود اتجاه نحو إساءة استخدام التطبيقات الموقعة على نظام macOS.
anavarro

7 دقيقة

برنامج MacSync Stealer الخبيث على نظام macOS

أصبح برنامج MacSync Stealer أحد أوضح الأمثلة على كيفية... برامج خبيثة لنظام macOS لقد حقق قفزة نوعيةما كان يُعتبر في السابق هجمات بدائية إلى حد ما، تتطلب من المستخدم نسخ ولصق الأوامر في الطرفية، تحول الآن إلى تهديد أكثر خفاءً يتنكر في صورة برامج شرعية تمامًا.

وفقًا لتحليلات مختلفة من مختبرات متخصصة في أمن أجهزة أبل، يستغل أحدث إصدار من هذا السارق المعلوماتي التوقيعات الرقمية الصحيحة وعملية التوثيق الرسمية لشركة أبل.وهذا يسمح له بتجاوز المرشحات التلقائية للنظام، وخداع أدوات مثل Gatekeeper أو XProtect، وبناء الثقة مع المستخدمين الذين يفترضون أن كل شيء موثق آمن.

سارق معلومات متنكر في هيئة تطبيق شرعي

تطبيق مزيف مع برنامج سرقة مزامنة النظام MacSync

برنامج MacSync Stealer هو سارق برامج لنظام macOS متخصص في سرقة البيانات وحتى في... التحكم عن بعد في المعداتلقد نشأ هذا التهديد كتطور لتهديد معروف باسم Mac.c، لكن الإصدار الحالي يذهب خطوة أبعد: فهو يتضمن وكيلًا تم تطويره بلغة Go بقدرات أكثر من مجرد سرقة بيانات الاعتماد.

في الحملات التي تم تحليلها، يصل الهجوم إلى المستخدم على شكل برنامج تثبيت لتطبيق مراسلة مزعوم.أحد الأمثلة التي تم اكتشافها هو ملف صورة قرص DMG يسمى zk-call-messenger-installer-3.9.2-lts.dmg، مُستضافة على نطاق يُحاكي خدمة اتصالات (zkcallnet/download).

تتضمن صورة القرص هذه تطبيقًا مكتوبًا بلغة البرمجة Swift، وهي لغة برمجة من Apple. تم التوقيع باستخدام هوية مطور تبدو شرعية و موثقة من قبل الشركة نفسهابفضل وجود توقيع صالح، يتعامل نظام macOS مع البرنامج على أنه موثوق به، مما يقلل من التحذيرات الأمنية ويكبح شكوك المستخدم العادي.

حتى لو تم توقيعها وتوثيقها، قد يعرض التطبيق الخبيث تعليمات إضافية، مثل مطالبة المستخدم بالنقر بزر الماوس الأيمن واختيار "فتح" لتجاوز قيود Gatekeeper الإضافية، وهي مناورة شائعة إلى حد ما في حملات البرامج الضارة لنظام macOS.

من الطرق اليدوية إلى العدوى شبه التلقائية

كيف يعمل برنامج سرقة مزامنة MacSync

اعتمدت النسخ الأولى من هذا البرنامج الخبيث على تقنيات ClickFix أو تقنيات "السحب إلى الطرفية"أجبرت هذه الهجمات الضحية على سحب الملفات إلى نافذة الأوامر أو لصق الأوامر لتشغيل الفيروس. كانت هجمات مزعجة، لكنها على الأقل تطلبت إجراءً واعياً من المستخدم.

يتخلى الإصدار الأخير عن هذا النهج ويختار نهجًا أكثر ملاءمة للمهاجمين: عملية تركيب لا تتطلب تدخلاً تقريباًيعتقد المستخدم أنه يقوم بتثبيت تطبيق مراسلة أو تطبيق إنتاجية، وفي الوقت نفسه، يعمل برنامج التثبيت في Swift على أنه «قطارة"، أي كمكون يقوم بتنزيل وتشغيل الحمولة الخبيثة الفعلية.

بمجرد تشغيله على جهاز ماك، يقوم البرنامج أولاً بإجراء مسح للبيئةتحقق، من بين أمور أخرى، مما إذا كان هناك اتصال بالإنترنت متاحيتحقق من سياق التنفيذ ويضمن استيفاء الحد الأدنى من الشروط اللازمة للمتابعة. ولا يتصل بخادم بعيد تحت سيطرة المهاجمين إلا بعد التأكد من سلامة كل شيء.

يتم تنزيل نص برمجي مشفر ووحدات أخرى تشكل المرحلة الثانية من الهجوم من ذلك الخادم. استخدام المتغيرات الديناميكية والتغييرات الطفيفة في أوامر التنزيل —على سبيل المثال، تقسيم الخيارات الشائعة لـ curl أو أضف معلمات مثل --noproxy— يشير إلى نية واضحة لتحسين موثوقية الهجوم، وفي الوقت نفسه، التهرب من قواعد الكشف القائمة على الأنماط المعروفة.

بالإضافة إلى ذلك، القطارة يقوم البرنامج بإزالة سمات الحجر الصحي والتحقق من صحة الملفات قبل تشغيلها.تم تصميم هذه الخطوات لتجنب الإشارات التي قد تكشف عن وجود رمز مشبوه لآليات الأمان المدمجة في نظام macOS.

صور DMG مُضخّمة وحيل للتخفي.

ومن الميزات الأخرى التي لفتت انتباه فرق البحث حجم ملف التثبيت. تستخدم حملات سرقة MacSync صور أقراص كبيرة بشكل غير عادي، حوالي 25,5 ميجابايت.يتم الحصول على هذا الرقم عن طريق تضخيم ملف DMG بمستندات PDF أو ملفات أخرى لا علاقة لها بالتطبيق الفعلي.

يخدم هذا الحشو غرضين: من ناحية، يجعل ذلك القائم بالتركيب يبدو أكثر "جدية" واحترافية من وجهة نظر المستخدم، يميل الناس إلى أن يكونوا أقل ارتيابًا من التطبيقات الكبيرة. من ناحية أخرى، يُعقّد ذلك التحليل الآلي لأن حلول الأمان تضطر إلى معالجة كمية أكبر بكثير من المعلومات غير ذات الصلة قبل تحديد المحتوى الضار.

يولي البرنامج الخبيث اهتماماً أيضاً بوقت التنفيذ. وقد لوحظ في بعض العينات إنشاء ملف سجل. UserSyncWorker.logأن يسمح ذلك للسارق بتتبع وقت تنفيذ العملية آخر مرة.إذا اكتشف أنه قد تم تشغيله بالفعل في الساعة الماضية (حوالي 3.600 ثانية)، فإنه يتوقف ويدخل في وضع "النوم" حتى وقت لاحق.

يقلل هذا النوع من التقييد أو "التحكم" من كمية النشاط المشبوه في فترة زمنية قصيرة و وهذا يجعل من الصعب على نظام مكافحة الفيروسات أو نظام المراقبة اكتشاف السلوك غير الطبيعي المستمر.في الواقع، تتصرف البرامج الضارة مثل "عميل نائم" يمر دون أن يلاحظه أحد في معظم الأوقات.

الهدف الرئيسي هو الوصول إلى معلومات عالية القيمة للمستخدم. يبحث برنامج MacSync Stealer، من بين أمور أخرى، عن الملف login.keychain-dbحيث يخزن نظام macOS كلمات المرور وغيرها من البيانات السرية. ولتحقيق ذلك، قد يعرض النظام نوافذ وهمية تطلب كلمة مرور النظام مباشرة بعد التثبيت، مما قد يؤدي، في حال عدم توخي الحذر، إلى سرقة بيانات الاعتماد على نطاق واسع.

رد شركة آبل والاتجاه السائد في البرامج الضارة لنظام macOS

بعد تحذيرات من شركات مثل مختبرات جامف للتهديدات وباحثين آخرين، قامت شركة آبل بإلغاء شهادات التوقيع المرتبطة بالمطورين المشاركين في توزيع برنامج MacSync Stealer.يمنع هذا الإلغاء استخدام نفس التوقيعات لنشر عينات جديدة تبدو وكأنها برامج موثوقة.

ومع ذلك، فإن الحادثة تسلط الضوء على حقيقة مزعجة: إن توقيع الطلب وتوثيقه لا يضمن في حد ذاته أنه آمن.تقلل عمليات المراجعة والتوثيق من المخاطر، لكنها ليست مضمونة تمامًا، ويتعلم المهاجمون العمل ضمن هذه الحدود.

يشير المحللون إلى أصبح هذا الاتجاه واضحًا بشكل متزايد في بيئة التهديدات لنظام macOS.يسعى مجرمو الإنترنت إلى دسّ برامجهم الخبيثة في ملفات تنفيذية تستوفي جميع متطلبات شركة آبل الرسمية. ومن خلال استغلال أنظمة الثقة الرسمية، يتمكنون من الظهور كتطبيقات شرعية، مما يقلل من احتمالية حظرها أو إثارة الشكوك لدى مستخدميها.

يندرج هذا التطور ضمن سياق أوسع حيث أصبحت المنصات التي كانت تعتبر تقليدياً "أكثر أماناً"، مثل macOS أو Linux، أهدافاً ذات أولوية.إن نمو أسطول أجهزة ماك في الشركات الأوروبية والإسبانية، فضلاً عن وجودها في البيئات الإبداعية والتعليمية والإدارية، يعني أن كل بيانات اعتماد مسروقة يمكن أن تكون لها قيمة كبيرة في السوق السوداء.

ويصر الخبراء من جانبهم على أن لم يعد بالإمكان تفويض الأمن إلى الطبقات الآلية للنظام فقطإن الجمع بين الهندسة الاجتماعية - التطبيقات التي تبدو منتجة أو مخصصة للمراسلة، والأسماء المختارة بعناية، والمواقع الإلكترونية ذات المظهر الاحترافي - وإساءة استخدام الشهادات الصالحة يجبر المستخدمين على توخي الحذر الشديد عند تنزيل أي برنامج من قنوات خارجية غير رسمية.

ترسم قضية "سارق ماك سينك" صورةً حيث لا تزال الحواجز التقليدية لنظام macOS مفيدة، لكنها تترك ثغرات يتعلم المتسللون استغلالها.إن وجود مثبتات DMG المتضخمة، وأتمتة الإصابة، والتغييرات في أوامر التنزيل، واستغلال البنية التحتية الموثوقة لشركة Apple، يوضح مدى احترافية البرامج الضارة لنظام Mac، ولماذا من المهم بشكل متزايد مراجعة ما يتم تثبيته بعناية، ومن أين يتم تنزيله، وما هي الأذونات الممنوحة في كل خطوة.

كيفية اكتشاف الفيروسات على ماك
المادة ذات الصلة:
كيفية اكتشاف الفيروسات على ماك