Jamf Threat Labs تكتشف برمجية خبيثة PamStealer تتنكر في هيئة تطبيق Maccy

حددت Jamf Threat Labs برنامجاً خبيثاً جديداً لنظام macOS مبني على Rust يُسمى PamStealer يتظاهر بأنه مدير الحافظة مفتوح المصدر Maccy. في تقرير نُشر يوم الخميس، قالت شركة الأمن السيبراني إن الحملة تستخدم موقعاً إلكترونياً مزيفاً لتوزيع ملف AppleScript خبيث يمكنه سرقة كلمات المرور ومفاتيح محافظ العملات المشفرة من مستخدمي Mac. يتحقق البرنامج الخبيث من صحة كلمات مرور تسجيل دخول الضحايا عبر وحدات المصادقة القابلة للتوصيل في macOS (PAM) قبل سرقتها، وفقاً لـ Jamf Threat Labs. يعكس هذا الاكتشاف اتجاهاً أوسع للمهاجمين الذين يتنكرون في هيئة برامج شرعية ويسيئون استخدام منصات المطورين الموثوقة وقنوات الإعلانات.

Jamf Threat Labs تكتشف طريقة توزيع PamStealer

وفقاً لـ Jamf Threat Labs، تستخدم الحملة موقعاً إلكترونياً مقلداً لتوزيع صورة قرص تحتوي على ملف AppleScript خبيث باسم Maccy.scpt. عند فتحه، يعرض الملف تعليمات تطلب من المستخدمين تشغيله في محرر النصوص البرمجية (Script Editor) من Apple بينما يخفي الكود الخبيث في أسفل المستند.

كتبت Jamf Threat Labs في التقرير: "نحن نتعقب هذا البرنامج الخبيث تحت اسم PamStealer نسبةً إلى أحد سلوكياته الأساسية: التحقق من كلمة مرور تسجيل دخول الضحية عبر وحدات المصادقة القابلة للتوصيل في macOS (PAM) قبل سرقتها."

قال جارون برادلي، مدير Jamf Threat Labs، لـ Decrypt إن المهاجمين يشترون مساحات إعلانية على Google لجذب المستخدمين إلى التطبيقات الخبيثة. وأضاف برادلي: "لاحظنا مؤخراً إعلانات خبيثة تُستضاف على X أيضاً. أثبتت تقنيات الهندسة الاجتماعية هذه نجاحاً كبيراً."

PamStealer يستخدم تقنيات متقدمة للتهرب

يستخدم البرنامج الخبيث JavaScript للتشغيل الآلي (JavaScript for Automation) وواجهات برمجة التطبيقات الأصلية لنظام macOS لتنزيل حمولة المرحلة الثانية دون الاعتماد على أدوات الصدفة الشائعة مثل curl أو zsh، مما يقلل عدد العمليات التي يمكن لأدوات الأمن مراقبتها.

وفقاً للتقرير، فإن المرحلة الثانية هي ملف ثنائي مبني على Rust مصمم لأجهزة Mac من Apple Silicon يتنكر في هيئة Finder أو Software Update. وقالت الشركة: "بدلاً من تخزين إعداداته في نص واضح، يستمد المُحمّل (dropper) مفتاحاً من بصمة المضيف – بما في ذلك بنية وحدة المعالجة المركزية، والإعدادات المحلية، وتخطيط لوحة المفاتيح، والمنطقة الزمنية – ويستخدمه لفتح إعدادات مشفرة وموثقة تحتوي على عنوان URL للحمولة ومسار التثبيت."

إذا لم يتمكن البرنامج الخبيث من التحقق من أنه يعمل على الهدف المقصود، فإنه يغلق نفسه بهدوء.

إمكانيات البرنامج الخبيث تشمل سرقة بيانات الاعتماد والثبات

بمجرد تثبيته، يمكن للبرنامج الخبيث سرقة بيانات اعتماد المتصفح وبيانات Keychain، ومراقبة محتويات الحافظة، وإنشاء آلية ثبات، وإرسال المعلومات المسروقة إلى خادم تحكم وأوامر بعيد باستخدام اتصالات مشفرة.

يحاول البرنامج الخبيث توسيع نطاق وصوله عبر عرض تنبيه Finder مزيف يطلب من المستخدمين منح صلاحية الوصول الكامل للقرص. قد يظهر الطلب بعد 40 دقيقة من الإصابة، مما يقلل احتمالية ربطه بالتنزيل الأصلي. في حالة الموافقة، يمكن للبرنامج الخبيث الوصول إلى البيانات المحمية، بما في ذلك البريد والرسائل ونسخ Time Machine الاحتياطية.

وفقاً لبرادلي، لم تلاحظ Jamf أي دليل على أن PamStealer نشط في البيئة الفعلية. أبلغت الشركة Apple بنتائجها. لم ترد Apple فوراً على طلب التعليق من Decrypt.

Jamf تحدّد حملة ذات صلة على منصة X

قالت Jamf إنها ترى تقنيات هندسة اجتماعية مماثلة تنتشر إلى منصات أخرى. في منشور على X الأسبوع الماضي، قالت الشركة إنها تحقق في إعلان مدفوع على X يروج لـ DynamicLake أعاد توجيه المستخدمين إلى dynamicmacisland[.]com، حيث طُلب منهم فتح Terminal وتنفيذ أمر تثبيت.

كتبت الشركة: "تم تقديم الإعلان عبر حساب موثّق على X، مما أضاف طبقة أخرى من الثقة إلى الهندسة الاجتماعية. كشف تحليل الحمولة عن متغير حديث من Atomic (MacSync) Stealer."

الاكتشاف يعكس اتجاهاً أوسع للبرامج الخبيثة

تأتي هذه النتائج في وقت يزداد فيه تنكر المهاجمين في هيئة برامج شرعية ويسيئون استخدام منصات المطورين الموثوقة وقنوات الإعلانات. تضمنت الحملات الأخيرة مستودع OpenAI مزيفاً وصل إلى قمة المشاريع الرائجة على Hugging Face قبل توزيع برنامج خبيث لسرقة المعلومات مبني على Rust، وإضافة Visual Studio Code خبيثة كشفت GitHub أنها عرضت حوالي 3,800 مستودع داخلي، وحملة Shai-Hulud لسلسلة توريد البرامج التي تستهدف أدوات التطوير التي تستخدمها شركات الذكاء الاصطناعي بما في ذلك OpenAI و Mistral AI.

الأسئلة الشائعة

ما هو برنامج PamStealer الخبيث وكيف يستهدف مستخدمي Mac؟

PamStealer هو برنامج خبيث لسرقة المعلومات على macOS مبني على Rust تم تحديده من قبل Jamf Threat Labs يتظاهر بأنه مدير الحافظة مفتوح المصدر Maccy. يتم توزيع البرنامج الخبيث عبر موقع إلكتروني مزيف يقدم ملف AppleScript خبيث. يتحقق من صحة كلمات مرور تسجيل دخول الضحايا عبر وحدات المصادقة القابلة للتوصيل في macOS (PAM) قبل سرقة بيانات اعتماد المتصفح وبيانات Keychain ومراقبة محتويات الحافظة.

كيف يتجنب PamStealer اكتشافه بواسطة أدوات الأمن؟

وفقاً لـ Jamf Threat Labs، يستخدم PamStealer JavaScript للتشغيل الآلي وواجهات برمجة التطبيقات الأصلية لنظام macOS لتنزيل حمولة المرحلة الثانية دون الاعتماد على أدوات الصدفة الشائعة مثل curl أو zsh، مما يقلل عدد العمليات التي يمكن لأدوات الأمن مراقبتها. كما يستمد البرنامج الخبيث مفتاحاً من بصمة المضيف لفتح إعدادات مشفرة، ويغلق نفسه إذا لم يتمكن من التحقق من أنه يعمل على الهدف المقصود.

هل رصدت Jamf استخدام PamStealer في هجمات نشطة؟

وفقاً لجارون برادلي، مدير Jamf Threat Labs، لم تلاحظ Jamf أي دليل على أن PamStealer نشط في البيئة الفعلية. أبلغت الشركة Apple بنتائجها، لكن Apple لم ترد فوراً على طلب التعليق من Decrypt.

إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة مستمدة من مصادر خارجية وهي للمرجعية فقط. لا تمثل هذه المعلومات آراء أو وجهات نظر Gate ولا تشكل أي نصيحة مالية أو استثمارية أو قانونية. ينطوي تداول الأصول الافتراضية على مخاطر عالية. يرجى عدم الاعتماد حصرياً على المعلومات الواردة في هذه الصفحة عند اتخاذ القرارات. لمزيد من التفاصيل، يرجى الرجوع على إخلاء المسؤولية.
تعليق
0/400
لا توجد تعليقات