اكتشف باحثون في مجال الأمن السيبراني نسخة جديدة من برمجية خبيثة تستهدف نظام macOS تُعرف باسم MacSync Stealer، قادرة على تجاوز أنظمة الحماية المدمجة في أجهزة آبل ومنح المهاجمين قدرات تحكم عن بُعد.
يتم تمرير البرمجية الخبيثة إلى الأجهزة عبر ملف صورة قرص (DMG)، وهو ملف مزيف يقدمه المهاجمون باسم يشبه تطبيق مراسلة، لكن داخله يوجد تطبيق مكتوب بلغة Swift موقّع وموثّق من آبل، ما يمنحه مظهراً شرعياً ويتيح تشغيله دون اعتراض من النظام.
وخلف هذا الغطاء، يقوم التطبيق بجلب سكربت مشفّر من خادم بعيد وتنفيذه لتثبيت البرمجية الخبيثة متجاوزة أنظمة الحماية مثل Gatekeeper وXProtect.
وقبل تثبيت البرمجية، تجري سلسلة من الفحوصات تشمل التحقق من الاتصال بالإنترنت، فرض فترة انتظار لا تقل عن 3600 ثانية لتقييد معدل التشغيل، وإزالة سمات العزل والتحقق من الملف قبل تشغيله.
ووفقاً للخبراء، اعتمد المهاجمون في السكربت المشفر على تغييرات دقيقة في أوامر curl واستخدام الخيارين -fL و -sS بدلاً من المجموعة التقليدية -fsSL، مع إضافة خيار noproxy.
ورغم توقيعه وتوثيقه، يعرض المُثبّت تعليمات للمستخدمين بفتح التطبيق عبر النقر بزر الفأرة الأيمن، وهي حيلة شائعة لتجاوز الضوابط الأمنية.
تم تضخيم حجم ملف DMG إلى أكثر من 25 ميجابايت عبر تضمين مستندات PDF غير مرتبطة، كوسيلة إضافية للتخفي، وتشغيل الحمولة المشفّرة في الذاكرة مباشرة، ما يقلل من آثارها على القرص ويصعّب اكتشافها.
واستغل المهاجمون حساب فريق مطورين يحمل المعرف “GNJLS3UYZ4” لتوقيع التطبيق وتوثيقه وجعله يبدو شرعياً أمام أنظمة الحماية، وقد تم لاحقاً إلغاء شهادة التوقيع المرتبطة بهذا المعرّف، وبالتالي لم يعد بإمكان البرمجية العمل بشكل طبيعي على macOS.
ووفقاً لمختبر Moonlock التابع لشركة MacPaw، فإن MacSync هو نسخة معاد تسميتها من Mac.c ظهر لأول مرة في أبريل 2025، ويحتوي على وكيل متكامل مكتوب بلغة Go يتيح للمهاجمين التحكم عن بُعد، متجاوزاً مجرد سرقة البيانات.
وقد لوحظت هجمات مشابهة باستخدام ملفات DMG موقّعة تتظاهر بأنها تطبيقات مثل Google Meet لنشر برمجيات خبيثة أخرى مثل Odyssey، فيما يستمر المهاجمون أيضاً بالاعتماد على صور أقراص غير موقّعة لنشر برمجية DigitStealer.
وقالت شركة Jamf إن هذا التحول في أسلوب التوزيع يعكس اتجاهاً أوسع في مشهد برمجيات macOS الخبيثة، حيث يحاول المهاجمون تمرير برمجياتهم داخل تطبيقات موقّعة وموثّقة لتبدو وكأنها شرعية.
المصادر
The Hacker News
9to5MAG
ظهرت المقالة اكتشاف برمجية خبيثة جديدة تتجاوز أنظمة حماية آبل أولاً على بلوك تِك.
المصدر
يتم تمرير البرمجية الخبيثة إلى الأجهزة عبر ملف صورة قرص (DMG)، وهو ملف مزيف يقدمه المهاجمون باسم يشبه تطبيق مراسلة، لكن داخله يوجد تطبيق مكتوب بلغة Swift موقّع وموثّق من آبل، ما يمنحه مظهراً شرعياً ويتيح تشغيله دون اعتراض من النظام.
وخلف هذا الغطاء، يقوم التطبيق بجلب سكربت مشفّر من خادم بعيد وتنفيذه لتثبيت البرمجية الخبيثة متجاوزة أنظمة الحماية مثل Gatekeeper وXProtect.
وقبل تثبيت البرمجية، تجري سلسلة من الفحوصات تشمل التحقق من الاتصال بالإنترنت، فرض فترة انتظار لا تقل عن 3600 ثانية لتقييد معدل التشغيل، وإزالة سمات العزل والتحقق من الملف قبل تشغيله.
ووفقاً للخبراء، اعتمد المهاجمون في السكربت المشفر على تغييرات دقيقة في أوامر curl واستخدام الخيارين -fL و -sS بدلاً من المجموعة التقليدية -fsSL، مع إضافة خيار noproxy.
ورغم توقيعه وتوثيقه، يعرض المُثبّت تعليمات للمستخدمين بفتح التطبيق عبر النقر بزر الفأرة الأيمن، وهي حيلة شائعة لتجاوز الضوابط الأمنية.
أساليب المهاجمين في التخفي
تم تضخيم حجم ملف DMG إلى أكثر من 25 ميجابايت عبر تضمين مستندات PDF غير مرتبطة، كوسيلة إضافية للتخفي، وتشغيل الحمولة المشفّرة في الذاكرة مباشرة، ما يقلل من آثارها على القرص ويصعّب اكتشافها.
واستغل المهاجمون حساب فريق مطورين يحمل المعرف “GNJLS3UYZ4” لتوقيع التطبيق وتوثيقه وجعله يبدو شرعياً أمام أنظمة الحماية، وقد تم لاحقاً إلغاء شهادة التوقيع المرتبطة بهذا المعرّف، وبالتالي لم يعد بإمكان البرمجية العمل بشكل طبيعي على macOS.
ووفقاً لمختبر Moonlock التابع لشركة MacPaw، فإن MacSync هو نسخة معاد تسميتها من Mac.c ظهر لأول مرة في أبريل 2025، ويحتوي على وكيل متكامل مكتوب بلغة Go يتيح للمهاجمين التحكم عن بُعد، متجاوزاً مجرد سرقة البيانات.
وقد لوحظت هجمات مشابهة باستخدام ملفات DMG موقّعة تتظاهر بأنها تطبيقات مثل Google Meet لنشر برمجيات خبيثة أخرى مثل Odyssey، فيما يستمر المهاجمون أيضاً بالاعتماد على صور أقراص غير موقّعة لنشر برمجية DigitStealer.
وقالت شركة Jamf إن هذا التحول في أسلوب التوزيع يعكس اتجاهاً أوسع في مشهد برمجيات macOS الخبيثة، حيث يحاول المهاجمون تمرير برمجياتهم داخل تطبيقات موقّعة وموثّقة لتبدو وكأنها شرعية.
المصادر
The Hacker News
9to5MAG
ظهرت المقالة اكتشاف برمجية خبيثة جديدة تتجاوز أنظمة حماية آبل أولاً على بلوك تِك.
المصدر
مواضيع مشابهة
اخر المواضيع