لدغة الأمان: البرامج الضارة التي يمكن لجهاز Mac اكتشافها وإزالتها

يتم تقديم 9to5Mac Security Bite لك حصريًا من خلال Mosyle، منصة Apple الموحدة الوحيدة. إن جعل أجهزة Apple جاهزة للعمل وآمنة للمؤسسات هو كل ما نقوم به. يجمع نهجنا المتكامل الفريد للإدارة والأمن بين أحدث الحلول الأمنية الخاصة بشركة Apple من أجل التعزيز والامتثال المؤتمت بالكامل، والجيل القادم من EDR، وZero Trust المدعومة بالذكاء الاصطناعي، وإدارة الامتيازات الحصرية مع أقوى وأحدث Apple MDM في السوق. والنتيجة هي منصة Apple الموحدة المؤتمتة بالكامل والتي تثق بها حاليًا أكثر من 45000 مؤسسة لجعل الملايين من أجهزة Apple جاهزة للعمل دون أي جهد وبتكلفة معقولة. اطلب تجربتك الموسعة اليوم وافهم لماذا يعتبر Mosyle كل ما تحتاجه للعمل مع Apple.

تم التحديث في 27 نوفمبر 2025

هل تساءلت يومًا ماذا البرمجيات الخبيثة هل يمكن لنظام التشغيل macOS اكتشافه وإزالته دون مساعدة من برامج الطرف الثالث؟ تضيف Apple باستمرار قواعد جديدة للكشف عن البرامج الضارة إلى مجموعة XProtect المدمجة في Mac. في حين أن معظم أسماء القواعد (التوقيعات) غامضة، مع القليل من الهندسة العكسية، يمكن للباحثين الأمنيين تعيينها لأسماء الصناعة الشائعة الخاصة بهم.

في هذه الطبعة المحدثة لعيد الشكر من لدغة الأمن، أعود إلى قصة بدأت العمل عليها في مايو 2024. نظرًا لأن Apple تضيف باستمرار وحدات جديدة إلى مجموعة XProtect الخاصة بها لمكافحة أحدث اتجاهات البرامج الضارة، أعتقد أن هذا العمود سيستمر في التحديث بمرور الوقت. إليك البرامج الضارة التي يستطيع جهاز Mac اكتشافها وإزالتها من تلقاء نفسه:

XProtect، قواعد يارا، هاه؟

تم تقديم XProtect في عام 2009 كجزء من نظام التشغيل macOS X 10.6 Snow Leopard. في البداية، تم إصداره لاكتشاف وتنبيه المستخدمين في حالة اكتشاف برامج ضارة في ملف التثبيت. ومع ذلك، فقد تطور برنامج XProtect مؤخرًا بشكل ملحوظ. أدى تقاعد أداة إزالة البرامج الضارة (MRT) طويلة الأمد في أبريل 2022 إلى ظهور XProtectRemediator (XPR)، وهو مكون أصلي أكثر قدرة لمكافحة البرامج الضارة ومسؤول عن اكتشاف التهديدات ومعالجتها على أجهزة Mac.

تستخدم مجموعة XProtect الكشف المستند إلى توقيع Yara لتحديد البرامج الضارة. أطفال في حد ذاته عبارة عن أداة مفتوحة المصدر معتمدة على نطاق واسع تحدد الملفات (بما في ذلك البرامج الضارة) بناءً على خصائص وأنماط محددة في التعليمات البرمجية أو البيانات الوصفية. الأمر الرائع في قواعد Yara هو أنه يمكن لأي مؤسسة أو فرد إنشاء واستخدام قواعده الخاصة، بما في ذلك Apple.

اعتبارا من ماك 15 سيكويا، تتكون مجموعة XProtect من ثلاثة مكونات رئيسية:

1. ال تطبيق اكس بروتيكت يمكنه اكتشاف البرامج الضارة باستخدام قواعد Yara عندما يتم تشغيل التطبيق لأول مرة أو تغييره أو تحديث توقيعاته.
2. إكس بروتيكتريميديتور (XPR) أكثر استباقية ويمكنه اكتشاف البرامج الضارة وإزالتها عن طريق الفحص المنتظم باستخدام قواعد Yara، من بين أشياء أخرى. تحدث هذه العمليات في الخلفية أثناء فترات انخفاض النشاط ويكون لها تأثير ضئيل على وحدة المعالجة المركزية.
3. يتضمن أحدث إصدار من نظام التشغيل macOS XProtectBehaviorService (XBS)، الذي يراقب سلوك النظام فيما يتعلق بالموارد الحيوية.

لسوء الحظ، تستخدم Apple في الغالب أنظمة تسمية داخلية عامة في برنامج XProtect والتي تحجب أسماء البرامج الضارة الشائعة. على الرغم من أن هذا يتم لسبب وجيه، إلا أنه يجعل من الصعب على أولئك الذين لديهم فضول معرفة بالضبط ما هي البرامج الضارة التي يمكن لـ XProtect التعرف عليها.

على سبيل المثال، يتم إعطاء بعض قواعد Yara أسماء أكثر وضوحًا، مثل XProtect_MACOS_PIRRIT_GEN، وهو توقيع لاكتشاف برامج Pirrit الإعلانية. ومع ذلك، في XProtect، ستجد إلى حد كبير قواعد أكثر عمومية مثل XProtect_MACOS_2fc5997 والتوقيعات الداخلية التي لا يعرفها سوى مهندسي Apple، مثل XProtect_snowdrift. هذا هو المكان الذي يحبه الباحثون الأمنيون فيل ستوكس و ألدن ادخل.

لا يزال Phil Stokes مع Sentinel One Labs مفيدًا المستودع على جيثب يقوم بتعيين هذه التوقيعات المبهمة التي تستخدمها شركة Apple للأسماء الأكثر شيوعًا التي يستخدمها البائعون والموجودة في برامج فحص البرامج الضارة العامة مثل VirusTotal. علاوة على ذلك، قام ألدن مؤخرًا تطورات كبيرة في فهم كيفية عمل XPR من خلال استخراج قواعد Yara من ثنائيات وحدة المسح الخاصة بها.

كيف يمكنني العثور على XProtect على جهاز Mac الخاص بي؟

يتم تمكين XProtect افتراضيًا في كل إصدار من macOS. كما أنه يعمل أيضًا على مستوى النظام، تمامًا في الخلفية، لذلك لا حاجة للتدخل. تحدث تحديثات XProtect تلقائيًا أيضًا. وهنا حيث يقع:

1. في ماكنتوش اتش دي, اذهب الى المكتبة > Apple > النظام > المكتبة > CoreServices
2. من هنا، يمكنك العثور على المعالجات عن طريق النقر بزر الماوس الأيمن عليها XProtect
3. ثم انقر فوق عرض محتويات الحزمة
4. يوسع محتويات
5. يفتح ماك

ملاحظة: يجب ألا يعتمد المستخدمون بشكل كامل على مجموعة XProtect من Apple، حيث إنها مصممة لاكتشاف التهديدات المعروفة. يمكن للهجمات الأكثر تقدمًا أو تطورًا أن تتحايل على عملية الكشف بسهولة. ومع ذلك، أوصي بشدة بتثبيت أي عدد من أدوات الكشف عن البرامج الضارة وإزالتها المتوفرة لدى الجهات الخارجية.

ما هي البرامج الضارة التي يمكن إزالتها؟

على الرغم من أن تطبيق XProtect نفسه يمكنه فقط اكتشاف التهديدات وحظرها، إلا أن الأمر يعود إلى وحدات المسح الخاصة بـ XPR لإزالتها. حاليًا، يمكننا تحديد 23 من أصل 25 معالجًا في الإصدار الحالي من XPR (v156) لإبعاد البرامج الضارة عن جهازك. تستخدم جميع الوحدات تقريبًا أنظمة تسمية داخلية من Apple ولا تخطر المستخدم عند إجراء فحص أو إجراء إصلاح. إليك ما نعرفه حاليًا عن كل منها:

1. تحميل: يستهدف برنامج تحميل البرامج الإعلانية والحزم مستخدمي macOS منذ عام 2017. وكان Adload قادرًا على تجنب اكتشافه قبل الأخير تحديث رئيسي لبرنامج XProtect أضافت 74 قاعدة كشف جديدة لـ Yara تستهدف جميعها البرامج الضارة.
2. BadGacha: لا يزال مجهولا رسميا. ومع ذلك، فقد اكتسب سمعة طيبة في إطلاق نتائج إيجابية كاذبة، وغالبًا ما يشير إلى التطبيقات المساعدة الحميدة في البرامج غير الضارة (مثل 1Password) باعتبارها تهديدات محتملة., وفق شركة الضوء الانتقائي.
3. بلوتوب: “يبدو أن BlueTop هي حملة Trojan-Proxy التي غطتها Kaspersky في أواخر عام 2023.” يقول ألدن.
4. بوندلور: وحدة جديدة تمت إضافتها في ديسمبر 2024. اسم هذه الوحدة غير غامض. Bundlore هي عائلة من برامج الإعلانات المتسللة الشائعة التي تستهدف أنظمة macOS. يمكن للعديد من برامج فحص البرامج الضارة التابعة لجهات خارجية اكتشاف الحزم والتوقف فيها في الوقت الفعلي. إنه ليس تهديدًا كبيرًا.
5. انقطاع الورق المقوى: تعمل هذه الوحدة بشكل مختلف قليلاً عن الوحدات الأخرى. بدلاً من البحث عن نوع معين من البرامج الضارة، يعمل CardboardCutout عن طريق إنشاء “مقطع” من البرامج الضارة ذات التوقيعات المعروفة وإيقافه قبل أن تتاح له الفرصة للتشغيل على النظام.
6. كولد سناب: “من المحتمل أن يبحث ColdSnap عن إصدار macOS من البرنامج الضار SimpleTea. وقد ارتبط هذا أيضًا بخرق 3CX ويشارك السمات مع كل من متغيرات Linux وWindows.” SimpleTea (SimplexTea على Linux) هو حصان طروادة للوصول عن بعد (RAT) يُعتقد أنه نشأ من جمهورية كوريا الشعبية الديمقراطية.
7. موصل: هذا ليس في الواقع ماسح ضوئي للبرامج الضارة. يبدو أن الموصل عبارة عن وحدة بنية أساسية تدير جدولة مكونات المعالجة الأخرى وصحتها لضمان تشغيلها بشكل صحيح.
8. كرابيراتور: تم تعريف Crapyrator على أنه macOS.Bkdr.Activator. هذه عبارة عن حملة برامج ضارة تم الكشف عنها في فبراير 2024 والتي “تصيب مستخدمي macOS على نطاق واسع، ربما بغرض إنشاء شبكة الروبوتات لنظام التشغيل macOS أو تقديم برامج ضارة أخرى على نطاق واسع”، كما يقول Phil Stokes من Sentinel One.
9. دوبلروبر: قطارة طروادة المثيرة للقلق ومتعددة الاستخدامات والمعروفة أيضًا باسم XCSSET.
10. إيكار: أ ملف غير ضار تم تصميمه عمدًا لتشغيل برامج مكافحة الفيروسات دون أن يكون ضارًا.
11. فلوبي فليبر: لم يتم تحديده بعد.
12. عبقري: برنامج غير مرغوب فيه وموثق بشكل شائع جدًا (PUP). لدرجة أنه يمتلك صفحة ويكيبيديا خاصة به.
13. جرين أكر: تم تعريف GreenAcre على أنه OSX.Gimmick. هذا برنامج تجسس متطور عبر الأنظمة الأساسية يستخدم في الهجمات المستهدفة التي تخفي حركة المرور الخاصة به عن طريق استخدام الخدمات السحابية العامة مثل Google Drive للأوامر والتحكم.
14. سرقة المفتاح: KeySteal عبارة عن أداة سرقة معلومات لنظام التشغيل MacOS تم اكتشافها لأول مرة في عام 2021 وتمت إضافتها إلى XProtect في فبراير 2023.
15. MRTv3: هذه عبارة عن مجموعة من مكونات الكشف عن البرامج الضارة وإزالتها والتي تم دمجها في XProtect من سابقتها، أداة إزالة البرامج الضارة (MRT).
16. البيريت: هذا أيضًا غير مقنع لسبب ما. Pirrit هو أحد برامج الإعلانات المتسللة لنظام التشغيل MacOS الذي ظهر لأول مرة في عام 2016. ومن المعروف أنه يقوم بإدخال الإعلانات المنبثقة في صفحات الويب، وجمع بيانات متصفح المستخدم الخاصة، وحتى التلاعب بترتيب البحث لإعادة توجيه المستخدمين إلى صفحات ضارة.
17. رانستانكيقول ألدن: “تعد هذه القاعدة من أكثر القواعد وضوحًا، لأنها تتضمن المسارات إلى الملفات التنفيذية الضارة التي تم العثور عليها في حادثة 3CX”. كان 3CX هجومًا على سلسلة التوريد منسوبًا إلى مجموعة Lazarus Group.
18. ريدباين: مع انخفاض الثقة، يقول ألدن إن RedPine من المحتمل أن يكون ردًا على TriangleDB من عملية التثليث– واحدة من أكثر الهجمات تطوراً على أجهزة iPhone على الإطلاق.
19. رحلة روتش: لا علاقة لها بالصراصير الطائرة وللأسف لم يحددها الباحثون بعد.
20. SheepSwap: على غرار SheepSwap، يُعتقد على نطاق واسع أن هذه الوحدة تستهدف أشكالًا أخرى من برامج Adload المتغيرة باستمرار، وفقًا لـ شركة الضوء الانتقائي.
21. شوبيغل: يستهدف هذا حملة TraderTraitor، وهي حملة مرتبطة بمجموعة Lazarus الكورية الشمالية التي تهاجم بورصات العملات المشفرة ومستخدمي التمويل اللامركزي من خلال تطبيقات تداول طروادة.
22. الانجراف الثلوج: تم تحديده على أنه CloudMensis برامج التجسس لنظام التشغيل MacOS.
23. توي دروب: على غرار SheepSwap، يُعتقد على نطاق واسع أن هذه الوحدة تستهدف أشكالًا أخرى من برامج Adload المتغيرة باستمرار.
24. للعثور على: مشابه لبيريت، للعثور على هو خاطف متصفح آخر عبر الأنظمة الأساسية. ومن المعروف أنه يعيد توجيه نتائج البحث، ويتتبع سجل التصفح، ويدخل إعلاناته الخاصة في البحث.
25. شبكة المياه: تم تعريفه على أنه Proxit، وهو حصان طروادة وكيل مكتوب بلغة البرمجة Go والذي يحول أجهزة Mac المصابة إلى عقد وكيل لتوجيه حركة المرور الضارة.

شكرا لك على القراءة! إذا كانت لديك نصائح حول بعض الوحدات التي لم يتم تحديدها بعد، فيرجى تركها في التعليقات أو مراسلتي عبر البريد الإلكتروني على arin@9to5mac.com.

فننسى: تويتر/X, ينكدين, المواضيع