يتجاوز برنامج MacSync الخبيث Gatekeeper ويعرض أمن نظام macOS للخطر

  • يأتي الإصدار الأحدث من MacSync كتطبيق Swift موقّع وموثق، قادر على تجاوز Gatekeeper على نظام macOS.
  • يقوم البرنامج الخبيث بسرقة بيانات الاعتماد، وسلاسل مفاتيح iCloud، وكلمات مرور المتصفح، ومحافظ العملات المشفرة.
  • يستخدم تقنيات مراوغة متقدمة مثل تضخيم ملفات DMG، وحذف البرامج النصية، والتنفيذ في الذاكرة.
  • يوصي الخبراء باتخاذ احتياطات إضافية مع الفنيين الخارجيين وتعزيز الحماية في أوروبا وإسبانيا.
Actualidad iPhone

11 دقيقة

برمجية MacSync الخبيثة التي تتجاوز Gatekeeper على نظام macOS

نوع جديد من تتخصص برمجية MacSync الخبيثة في سرقة المعلومات أثار هذا الأمر مخاوف في بيئة نظام macOS. ويُعدّ هذا التهديد، الذي تسبب بالفعل في فقدان بعض المستخدمين لعملاتهم الرقمية، خطيراً لأنه يتمكن من تنفيذ برمجيات خبيثة متخفياً في هيئة تطبيق شرعي وموقع، متجاوزاً بذلك أنظمة الحماية المدمجة في نظام Apple.

وفقًا لتحقيقات مختلفة مختبرات السلامة، بما في ذلك مختبرات جامف للتهديدات وشركات تركز على العملات المشفرة مثل سلو ميست، هذا تستفيد تقنية MacSync من الجيل التالي من عملية التوقيع والتوثيق الخاصة بشركة Apple لكسب ثقة نظام التشغيل. والنتيجة مثيرة للقلق بشكل خاص للمستخدمين في أوروبا وإسبانيا الذين يديرون بيانات الاعتماد أو البيانات الحساسة أو محافظ العملات المشفرة من أجهزة ماك الخاصة بهم، والذين كانوا مقتنعين بأن Gatekeeper والتوثيق كانا كافيين للحماية.

لص معلومات متطور بشكل متزايد

يصف المحللون هذا المتغير بأنه برنامج لسرقة المعلومات مصمم خصيصًا لنظام macOS، وقادر على جمع نطاق واسع من البياناتتشمل الأهداف المؤكدة بيانات الاعتماد المخزنة في سلسلة مفاتيح iCloud، وكلمات المرور المحفوظة في المتصفحات، وبيانات النظام الوصفية، وملفات القرص المحددة، والمعلومات من محافظ العملات المشفرة والملحقات المرتبطة بها.

برنامج MacSync ليس جديدًا: فقد ظهر لأول مرة في أبريل 2025 تقريبًا تحت اسم Mac.C، وكان مرتبطًا بممثل معروف باسم "إيجابي عقلياً" في منتديات الجرائم الإلكترونيةبدأ البرنامج في اكتساب الزخم بدءًا من فصل الصيف، ووضع نفسه في سوق سرقة المعلومات لنظام macOS الذي لا يزال صغيرًا ولكنه مربح، إلى جانب عائلات مثل AMOS أو Odyssey.

وقد حذرت تقارير سابقة، مثل تلك الصادرة عن قسم مونلوك التابع لشركة ماكباو، من قدرتها على استخراج البيانات من محافظ العملات المشفرة المحليةالمستندات وبيانات اعتماد خدمات الحوسبة السحابية. ويحافظ الإصدار الأحدث على هذا التركيز، ولكنه يعزز بشكل خاص جوانب التهرب والتخفي، مما يرفع مستوى التهديد للمستخدمين المنزليين والشركات.

في السياق الأوروبي، حيث يرتفع استخدام أجهزة ماك بشكل خاص في القطاعات الإبداعية والتكنولوجية والمالية، يشكل اللص الذي يمتلك هذا النطاق خطراً مباشراً على حماية البيانات.، والامتثال للائحة العامة لحماية البيانات وحماية الأصول الرقمية ذات القيمة العالية.

كيف يتجاوز ذلك نظام Gatekeeper وعملية التوثيق؟

يتمثل التغيير الرئيسي عن الأجيال السابقة في طريقة التوزيع. فبدلاً من الاعتماد على حيل الهندسة الاجتماعية مثل "السحب إلى الطرفية" أو أدلة تشغيل البرامج النصية يدويًا، فإن الحملة الحالية يقدم MacSync الخدمة من خلال تطبيق Swift موقّع وموثق، مُغلّفة في صورة قرص (DMG) يتم عرضها على شكل فني تركيب معتمد.

توضح شركة Jamf أن إحدى الحزم التي تم تحليلها تصل في ملف يسمى تم توزيع ملف "zk-call-messenger-installer-3.9.2-lts.dmg" من موقع ويب يبدو شرعيًا.يتضمن الجهاز تطبيق Mach-O عالمي، مع توقيع صالح وتذكرة توثيق معتمدة من قبل Apple في وقت التحليل، مرتبطة بمعرف الفريق GNJLS3UYZ4.

بفضل هذا التوقيع والتوثيق، يحصل المثبت على اجتياز فحوصات حارس البوابة دون إثارة الشكوكيرى المستخدم برنامجًا يتعرف عليه نظام macOS على أنه برنامج موثوق، مما يقلل من التنبيهات والمتاعب عند فتحه. بمجرد تشغيله، يعمل التطبيق كـ"مُثبِّت": حيث يقوم بفك تشفير الحمولة الخبيثة ونشرها، والتي تحتوي على برنامج السرقة الفعلي.

وبحسب ما ورد، بعد تلقي إشعار من الباحثين، شرعت شركة آبل في إلغاء الشهادة المرتبطة بهذه الحملةومع ذلك، فإن الحادثة توضح أن المهاجمين قادرون على الحصول على توقيعات صالحة، والتكيف بسرعة، وإساءة استخدام آليات الثقة التي صممتها شركة أبل تحديدًا لحماية المستخدمين.

أساليب التهرب: الملفات الضخمة، ومحو الآثار، والتنفيذ في الذاكرة

بالإضافة إلى التوقيع والتوثيق، يشتمل نظام MacSync على عدة طبقات من آليات التهرب المصممة لـ للتحايل على كل من التحليل الآلي وأدوات الأمان التقليديةإحدى أكثر التكتيكات إثارة للدهشة هي "تضخيم الملف": يقوم المهاجمون بتضخيم حجم صورة DMG إلى حوالي 25,5 ميجابايت عن طريق إدراج ملفات PDF وهمية أو ملفات أخرى غير ضارة، بحيث يتم تخفيف التعليمات البرمجية الخبيثة في وحدة تخزين تبدو شرعية.

ومن المقاييس الشائعة الأخرى ما يلي: الحذف المنهجي للبرامج النصية المستخدمة في سلسلة التنفيذبمجرد أن يقوم برنامج التثبيت بعمله ويتم إطلاق الحمولة، تتم إزالة البرامج النصية الوسيطة من النظام، مما يقلل بشكل كبير من الآثار التي يمكن لمحلل الطب الشرعي تحديد موقعها لاحقًا على القرص.

وقد لاحظ الباحثون أيضًا يتم إجراء فحوصات الاتصال بالإنترنت قبل تفعيل عملية الشحن بالكاملإذا اكتشف البرنامج الضار عدم وجود اتصال بالشبكة أو أنه موجود في بيئة مشبوهة - على سبيل المثال، بيئة معزولة بدون حركة مرور حقيقية - فإنه يستطيع تعديل سلوكه أو ببساطة عدم تنفيذ أجزاء معينة، بهدف إحباط التحليل.

يتم تنفيذ جزء كبير من المنطق الخبيث في الذاكرة، حيث يعمل تطبيق Swift كأداة أولية. وهذا يعقد عمل حلول مكافحة الفيروسات وحلول الاستجابة لنقاط النهاية التي تعتمد بشكل كبير على عمليات المسح القائمة على الملفات أو التوقيعات الثابتة. تشير شركة Jamf إلى أن الجمع بين تطبيق موقّع، وبرنامج تحميل في الذاكرة، وحذف الأدلة، يعكس قفزة نوعية في التطور مقارنة بحملات MacSync المبكرة.

العملات المشفرة وسرقة بيانات الاعتماد: الغنيمة الرئيسية

من أخطر عواقب هذه الحملة ما يلي: السرقة المباشرة للأصول الرقمية، وخاصة العملات المشفرةأكدت شركة SlowMist، من خلال مدير الأمن الخاص بها، أن العديد من المستخدمين قد تكبدوا بالفعل خسائر في الأموال بعد إصابتهم بالفيروس، دون وقوع هجوم على منصات التداول أو الوصول القسري إلى حساباتهم: ببساطة حصل المهاجمون على المفاتيح وبيانات الاسترداد من الأجهزة المخترقة.

تم تصميم جهاز السرقة لـ استخراج المعلومات من المحافظ المحلية، وإضافات المتصفح، وتطبيقات سطح المكتب التي تدير الأصول المشفرة. بمجرد حصول المجرمين على العبارات السرية أو المفاتيح الخاصة أو عبارات الاسترداد، يمكنهم إفراغ المحافظ في دقائق، دون أي إمكانية حقيقية لعكس المعاملات - وهو أمر بالغ الأهمية بشكل خاص للمستثمرين والشركات الأوروبية التي تمتلك خزائن عملات مشفرة.

إلى جانب المحافظ، تستهدف MacSync سلسلة مفاتيح iCloud، حيث يقوم العديد من المستخدمين بتخزين كلمات المرور الخاصة بالخدمات المصرفية والبريد الإلكتروني ومنصات الشركاتكما يستهدف هذا الهجوم بيانات اعتماد المتصفح، والجلسات المحفوظة، والملفات التي قد تحتوي على معلومات تجارية حساسة. وبالتالي، لا يقتصر الخطر على أموال المستخدم فحسب، بل يمتد ليشمل أمن حسابات وبيانات جهات خارجية.

في إسبانيا، حيث ارتفع الاهتمام بالعملات المشفرة بشكل كبير في السنوات الأخيرة، وأصبح التداول من خلال أجهزة الكمبيوتر المحمولة الشخصية أمراً شائعاً، إن الجمع بين برنامج MacSync وممارسات التخزين السيئة يزيد من فرص التعرض لسرقة صامتة.لا يدرك العديد من الضحايا عملية الاختراق إلا عندما يتحققون من رصيد محفظتهم الإلكترونية أو يتلقون إشعارات تسجيل دخول غير عادية.

MacSync وبيئة التهديدات على نظام macOS في أوروبا

يندرج تطور برنامج MacSync ضمن اتجاه أوسع: لم يعد نظام macOS هدفًا "ثانويًا" للمجرمين الإلكترونيينإن نمو حصة شركة أبل في السوق الأوروبية، إلى جانب الاعتقاد السائد بأن "البرامج الضارة لا تدخل إلى أجهزة ماك"، قد خلق بيئة جاذبة للحملات المستهدفة وعمليات السرقة ذات القيمة العالية.

تشير العديد من التقارير الحديثة إلى زيادة في برامج السرقة وبرامج التجسس التي تعتمد على تطبيقات يُفترض أنها شرعيةبرامج مقرصنة أو برامج تثبيت مُقنّعة على هيئة أدوات إنتاجية. تُباع برامج مثل AMOS وOdyssey وMacSync نفسها في منتديات سرية على أنها خدمات جاهزة للاستخدام، مما يُسهّل على المُهاجمين ذوي الخبرة التقنية المحدودة اختراقها.

في دول الاتحاد الأوروبي التي تشهد إقبالاً كبيراً على استخدام أجهزة ماك في الشركات الإبداعية، ووسائل الإعلام، والشركات المهنية، أو الشركات الناشئة في مجال التكنولوجيا، يمكن أن يصبح هذا النوع من الالتزام بوابةً لشبكات الشركات بأكملها.إن استخدام التطبيقات الموقعة والموثقة يزيد من تعقيد مهمة فرق تكنولوجيا المعلومات، التي غالباً ما تعتمد على التوقيع كمؤشر رئيسي للموثوقية.

بدأت وسائل الإعلام الأوروبية والمواقع الإلكترونية المتخصصة بتخصيص مساحة لهذا الإصدار من برنامج MacSync، مع تسليط الضوء على ذلك. تُعدّ وسائل الحماية التي توفرها شركة آبل - مثل Gatekeeper والتوثيق وXProtect - ضرورية ولكنها غير كافية. إذا استمر المستخدم في تثبيت البرامج من مصادر غير موثوقة أو تجاهل أبسط علامات التحذير.

دروس للمستخدمين والشركات في إسبانيا والاتحاد الأوروبي

يتفق الخبراء على أن قضية MacSync يجب أن تكون بمثابة درس. إشعار بإعادة النظر في بعض ممارسات تثبيت البرامج وإدارتهابالنسبة لمستخدمي المنازل، فإن التوصية الأولى هي تجنب تنزيل التطبيقات أو المكونات الإضافية أو برامج التثبيت من مواقع الويب غير المعروفة أو الروابط المتداولة على الشبكات الاجتماعية أو مواقع التنزيل غير الرسمية قدر الإمكان.

حتى عندما يظهر برنامج التثبيت على أنه "آمن" مع نظام macOS لأنه موقع وموثقمن المهم أن تسأل نفسك عن مدى موثوقية المصدر، وما إذا كنت بحاجة فعلًا إلى الأداة، وما إذا كان هناك بديل في متجر تطبيقات ماك أو على الموقع الرسمي للمطور. الحذر من الحلول المزعومة التي تُوصف بأنها "معجزة"، أو النسخ "المجانية" من التطبيقات المدفوعة، أو التحديثات التي لم تطلبها، قد يوفر عليك الكثير من المتاعب.

أما بالنسبة لأولئك الذين يديرون العملات المشفرة من جهاز ماك، فإن التوصيات تتجاوز ذلك خطوة أخرى: قم بتخزين الجزء الأكبر من الأموال في محافظ الأجهزةاستخدم محافظ للقراءة فقط على الكمبيوتر الرئيسي وافصل، قدر الإمكان، بيئة التصفح اليومية عن الجهاز الذي يتم فيه توقيع المعاملات.

بالنسبة للشركات الإسبانية والأوروبية، يوضح MacSync ذلك الاعتماد فقط على أدوات التحكم الأصلية من Apple لا يكفي لحماية أسطول من أجهزة Macمن الضروري نشر حلول أمان نقاط النهاية المزودة بقدرات تحليل السلوك، ومراجعة سياسات تنفيذ البرامج (على سبيل المثال، تقييد التثبيت بالتطبيقات الموثوقة والمستودعات المعتمدة)، ومراقبة الاتصالات الصادرة المشبوهة بخوادم القيادة والتحكم.

التحدي الذي يواجه شركة آبل ومستقبل الأمن في نظام macOS

تشير تعليقات مؤلف برنامج MacSync نفسه في مقابلات مع الباحثين إلى أن أثرت قرارات شركة آبل المتعلقة بالتوثيق بشكل مباشر على تصميم البرامج الضارة.أدى تشديد السياسات في نظام macOS 10.14.5 وما بعده إلى إجبار المهاجمين على إيجاد طرق جديدة للحفاظ على معدل الإصابة، واعتماد نفس المسار الذي يتبعه المطورون الشرعيون: تقديم التطبيقات للمراجعة والتوقيع.

تُظهر لعبة القط والفأر هذه أن لا يمكن أن يكون التوثيق، في حد ذاته، هو الغاية النهائية لاستراتيجية الأمنعلى الرغم من أن شركة أبل تقوم بعمليات مسح تلقائية وتلغي الشهادات عندما تكتشف إساءة الاستخدام، إلا أن الفترات الفاصلة بين ظهور متغير جديد وحظره الفعال تظل نافذة تستغلها الجماعات الإجرامية لتوزيع البرامج الضارة.

يدعو العديد من خبراء الأمن السيبراني إلى تعزيز آليات الكشف القائم على السلوك والقياس عن بعد في الوقت الفعليمُدمجة في نظام التشغيل نفسه. كما يشيرون إلى أهمية تحسين أدوات الرؤية والتحكم للمسؤولين في بيئات المؤسسات، حتى يتمكنوا من وضع قوائم بيضاء أكثر صرامة وقواعد تنفيذ أكثر تقدماً.

في الوقت نفسه، يقوم مجتمع الأمن - بما في ذلك مزودي إدارة أجهزة أبل والمختبرات المتخصصة - بزيادة تعاونه مع الشركة. تبادل مؤشرات الاختراق وأنماط الهجوم لتسريع الاستجابة لحملات مثل MacSync. وتُظهر السرعة التي تم بها إلغاء الشهادة المرتبطة بهذا الإصدار هذا التنسيق، على الرغم من أن الهدف لا يزال يتمثل في تقصير أوقات الاستجابة بشكل أكبر.

كل ما حدث مع MacSync يُظهر أن نظام macOS، مهما بلغت درجة حمايته، ليس بمنأى عن التهديدات التي تعرف كيف تلعب وفقًا لقواعدها الخاصة: برامج خبيثة قادرة على تقديم نفسها كتطبيق Swift موقّع وموثّق، وتضخيم ملفات التثبيت الخاصة بها بملفات وهمية، ومحو آثارها، وسرقة كل شيء من كلمات المرور إلى العملات المشفرة، مما يُجبر كلاً من Apple والمستخدمين والشركات في إسبانيا وبقية أوروبا على اتخذ خطوة للأمام في عادات الدفاع، والضوابط، والتكنولوجيا إذا كانوا لا يريدون معرفة أمر الهجوم إلا بعد فوات الأوان.

ميزات سفاري المخفية على الآيفون: حيل وإعدادات يجب أن تعرفها
المادة ذات الصلة:
تعلن شركة Apple عن تغييرات في Safari وApp Store في أوروبا

تابعونا على أخبار جوجل