تحديثات حصان طروادة لنظام macOS: انتشارها عبر التطبيقات الموقعة، وتشفير المستخدمين يواجهون المزيد من المخاطر الخفية

نشر موقع BlockBeats News في 23 ديسمبر، منشورًا ذكر فيه كبير مسؤولي الأمن في SlowMist، 23pds، يفيد بأن برنامج MacSync Stealer الخبيث النشط على منصة macOS قد شهد تطورًا كبيرًا، حيث تم بالفعل سرقة أصول المستخدمين. ذكر المقال الذي شاركه أنه من الاعتماد السابق على "السحب والإفلات إلى Terminal" و"ClickFix" وغيرها من أساليب التحفيز ذات العتبة المنخفضة، فقد تم تحديثه إلى توقيع التعليمات البرمجية ومن خلال تطبيقات Swift الموثقة من Apple، مما أدى إلى تحسين قدرته على التخفي بشكل كبير.

وجد الباحثون أن هذه العينة يتم نشرها على شكل صورة قرص تسمى zk-call-messenger-installer-3.9.2-lts.dmg، متنكرة في صورة تطبيقات مراسلة فورية أو تطبيقات مساعدة لحث المستخدمين على التنزيل. على عكس السابق، لم يعد الإصدار الجديد يتطلب أي عملية طرفية من قبل المستخدم، بل يتم سحبه وتنفيذه بواسطة مساعد Swift مدمج من خادم بعيد لإكمال عملية سرقة المعلومات.

تم توقيع هذا البرنامج الخبيث وتوثيقه بواسطة Apple، وكان معرف فريق المطورين هو GNJLS3UYZ4، ولم تقم Apple بإلغاء التجزئة ذات الصلة أثناء التحليل. وهذا يعني أن لديه "مستوى ثقة" أعلى في ظل آليات الأمان الافتراضية لنظام macOS، مما يسهل تجاوز يقظة المستخدم. كما وجدت الأبحاث أن ملف DMG كبير بشكل غير عادي، ويحتوي على ملفات وهمية متعلقة بملفات LibreOffice PDF، من بين ملفات أخرى، وذلك لتقليل الشكوك بشكل أكبر.

وأشار باحثو الأمن إلى أن برامج التجسس التي تسرق المعلومات غالباً ما تستهدف بيانات المتصفح وبيانات اعتماد الحساب ومعلومات محفظة العملات المشفرة. مع بدء البرامج الضارة في إساءة استخدام آلية التوقيع والتوثيق الخاصة بشركة أبل بشكل منهجي، يواجه مستخدمو العملات المشفرة في بيئة macOS خطرًا متزايدًا للتصيد الاحتيالي وتسريب المفاتيح الخاصة.

ينصح المستخدمون بشدة بالتأكد من تفعيل خاصية منع التهديدات والتحكم المتقدم في التهديدات في برنامج Jamf لنظام التشغيل Mac وضبطها على وضع الحظر للدفاع ضد أحدث أنواع البرامج الضارة التي تسرق المعلومات.