
وجد الباحثون قطعة جديدة لم يسبق رؤيتها من برامج ضارة لنظام macOS تجمع بين سلسلة من الحيل الذكية لإصابة أجهزة Mac بشيفرات مخصصة لسرقة بيانات الاعتماد بطريقة stealthy.
يتم تسليم البرمجيات الضارة على مرحلتين. المرحلة الأولى تُوزع في صورة قرص تتنكر كـ Maccy، وهو مدير حافظة لأجهزة Mac. تم تجميعها كلغة AppleScript وتتميز بالطريقة التي تقدم بها المرحلة الثانية. سميت البرمجيات الضارة بـ PamStealer لأن البرمجيات المكتوبة بلغة Rust تستخدم واجهة Modules Authentication القابلة للإضافات المدمجة في macOS للتحقق من كلمة مرور تسجيل الدخول المستهدفة قبل إرسالها إلى خادم يتم التحكم به من قبل المهاجم.
سلسلة تنفيذ أكثر هدوءًا
استخدام كل من صورة القرص وAppleScript شائع في البرمجيات الضارة لأجهزة Mac. ما هو غير المعتاد هو الطريقة التي تجمع بها PamStealer بينهما لتحقيق التخفي. عندما يتم النقر مرتين على AppleScript، يتم فتحه في محرر سكريبت macOS، حيث يتم دفن الوظائف الخبيثة في عمق الملف.
“بدلاً من الاعتماد على أوامر الـ shell مثل curl أو zsh، يقوم AppleScript بتنفيذ جافا سكريبت ذاتية المحتوى للتنزيل (JXA) تسترجع وتحضر الحمولة باستخدام واجهات برمجة التطبيقات Objective-C الأصلية”، كتب الباحثون من Jamf، وهي شركة أمنية لمستخدمي macOS، كتبوا. “بمقارنة مع المرحلة الثانية المكتوبة بلغة Rust وخط عمل لالتقاط كلمات المرور التي تتحقق محليًا من بيانات الاعتماد من خلال PAM، فإن النتيجة هي سلسلة تنفيذ أكثر هدوءًا مما نشاهده عادةً في لصوص macOS التقليديين.”
عندما يواجه المستخدم، الذي يتوقع تثبيت مدير حافظة موثوق به، صورة القرص، يتم تحفيزه للضغط على Command-R مباشرة بعد النقر المزدوج عليها. تنفذ هذه الأمر الشيفرة الخبيثة داخل AppleScript مباشرة. كما أنه يسمح للتنفيذ بتجاوز com.apple.quarantine، وهي خاصية في macOS التي تقدم تحذيرات وقيودًا عند تنزيل ملفات تنفيذية من الإنترنت.
كما أوضحت Jamf:
يجمع PamStealer بين سطح تسليم ناشئ حديثًا وحمولة أقل شهرة. بينما يعتمد الثغرات القابلة للنقر والمدمجة في محرر السكريبت على الحيل التي بدأت بالفعل في الحصول على اعتماد عبر مشهد تهديد macOS، تميز البرمجيات الضارة نفسها من خلال استخدام JXA dropper ذاتية المحتوى، ومرحلة ثانية مكتوبة بلغة Rust، وخط عمل لالتقاط كلمات المرور التي تتحقق محليًا من بيانات الاعتماد من خلال PAM قبل جمعها. تضع تلك المرحلة الثانية جهدًا كبيرًا في البقاء مخفية، متخفية كـ Finder، وتشفير حركة البيانات الخاصة بها، وتأخير المطالبات مثل طلب الوصول الكامل للقرص لمدة تصل إلى أربعين دقيقة حتى لا تتماشى نشاطها مع الإطلاق. معًا، توضح هذه السلوكيات كيف يستمر لصوص macOS التقليديون في التطور، معتمدين سلاسل تنفيذ أكثر هدوءًا وتنفيذات أصلية تقلل من فرص الكشف التقليدية بينما تبقى متوافقة مع ميزات macOS القياسية.
تضع المرحلة الأولى حمولتها داخل حزمة تطبيق تتنكر كأجزاء حقيقية مدمجة في macOS. يتغير المكون من عينة إلى أخرى من البرمجيات الضارة. Finder.app تحت com.apple.finder.core أو com.apple.finder.monitor، وتحديث البرامج (Software Update.app) تحت com.apple.security.daemon، هما مثالان. في كلتا الحالتين، تعمل بشكل مخفي. كما أنها تعرض أيقونة Finder.icns الأصلية في macOS كأيقونتها.
