يتجاوز متغير MacSync Stealer حماية Apple من البرامج الضارة

لقد رأينا مؤخرا كيف تم استخدام ChatGPT لخداع ماك المستخدمين لتثبيت MacStealer، والآن تم العثور على تكتيك مختلف لإقناع المستخدمين بتثبيت إصدار MacSync Stealer.

يظل جهاز Mac هدفًا صعبًا نسبيًا للمهاجمين بفضل وسائل الحماية التي تقدمها Apple ضد تثبيت البرامج الضارة. ومع ذلك، فإن البرامج الضارة لنظام التشغيل Mac آخذة في الازدياد، وقد اكتشف تكتيكان تم اكتشافهما مؤخرًا بواسطة حماية يسلط الباحثون الضوء على الأساليب الإبداعية التي يستخدمها بعض المهاجمين…

كان هناك سببان رئيسيان وراء ندرة البرامج الضارة التي تعمل بنظام Mac مقارنة بتلك الموجودة في أجهزة Windows. الأول، بالطبع، كان الحصة السوقية المنخفضة نسبيًا لأجهزة Mac. والثاني هو وسائل الحماية المضمنة التي تتضمنها Apple لاكتشاف التطبيقات المارقة وحظرها.

مع نمو حصة سوق Mac، فإن جاذبية النظام الأساسي كهدف قد فعلت الشيء نفسه، خاصة وأن التركيبة السكانية لشركة Apple تجعل مستخدمي Mac هدفًا مغريًا لعمليات الاحتيال المالي على وجه الخصوص.

عند محاولة تثبيت تطبيق Mac جديد، يتحقق macOS من أنه تم توثيقه بواسطة Apple باعتباره موقعًا من قبل مطور معروف. إذا لم يكن الأمر كذلك، فسيتم وضع علامة على هذه الحقيقة وسيجعل نظام macOS الآن عملية معقدة نسبيًا لتجاوز الحماية وتثبيتها على أي حال.

في وقت سابق من هذا الشهر، علمنا ذلك يستخدم المهاجمون ChatGPT وغيرها من برامج الدردشة الآلية التي تعمل بالذكاء الاصطناعي لخداع مستخدمي Mac للصق سطر أوامر في الوحدة الطرفية، والتي تقوم بعد ذلك بتثبيت Macware. لقد وجدت شركة الأمن السيبراني Jamf الآن مثالاً لنهج آخر يتم استخدامه.

أداة تثبيت MacSync Stealer

يقول جمف أن البرامج الضارة هي نسخة مختلفة من البرامج الضارة MacSync Stealer “النشيطة بشكل متزايد”.

يستخدم المهاجمون تطبيق Swift الذي تم توقيعه وتوثيقه ولا يحتوي في حد ذاته على أي برامج ضارة. ومع ذلك، يقوم التطبيق بعد ذلك باسترداد البرنامج النصي المشفر من خادم بعيد، والذي يتم تنفيذه بعد ذلك لتثبيت البرامج الضارة.

بعد فحص ملف Mach-O الثنائي، وهو إصدار عالمي، تأكدنا من أنه موقع وموثق بالكود. يرتبط التوقيع بمعرف فريق التطوير GNJLS3UYZ4.

لقد تحققنا أيضًا من تجزئات دليل التعليمات البرمجية مقابل قائمة الإلغاء الخاصة بشركة Apple، وفي وقت التحليل، لم يتم إلغاء أي منها (…)

تميل معظم الحمولات المرتبطة بـ MacSync Stealer إلى العمل بشكل أساسي في الذاكرة ولا تترك أثرًا يذكر على القرص.

وتقول الشركة إن المهاجمين يستخدمون هذا النوع من النهج بشكل متزايد.

يعكس هذا التحول في التوزيع اتجاهًا أوسع عبر مشهد البرامج الضارة لنظام التشغيل macOS، حيث يحاول المهاجمون بشكل متزايد تسلل برامجهم الضارة إلى الملفات التنفيذية التي تم توقيعها وتوثيقها، مما يسمح لها بأن تبدو أشبه بالتطبيقات الشرعية. ومن خلال الاستفادة من هذه التقنيات، يقلل الخصوم من فرص اكتشافهم مبكرًا.

تقول Jamf إنها أبلغت Apple بمعرف المطور وقد قامت الشركة الآن بإلغاء الشهادة.

خذ 9to5Mac

كما هو الحال دائمًا، فإن أفضل حماية ضد برامج Mac الضارة هي تثبيت التطبيقات فقط من Mac App Store ومن مواقع المطورين الذين تثق بهم.

الملحقات المميزة

الصورة بواسطة رشيد على أونسبلاش