MacStealer

تشكل البرامج الضارة المكتشفة مؤخرًا والمعروفة باسم MacStealer تهديدًا لمستخدمي نظام تشغيل Mac من Apple. تم تصميم هذا البرنامج الضار المحدد لسرقة المعلومات الحساسة من ضحاياه ، بما في ذلك بيانات اعتماد iCloud KeyChain الخاصة بهم ، ومعلومات تسجيل الدخول إلى مستعرض الويب ، ومحافظ العملة المشفرة ، والملفات المهمة الأخرى المحتملة.

ما يجعل MacStealer ، وخاصة ما يثير القلق ، هو أنه يتم توزيعه كمنصة "البرمجيات الخبيثة كخدمة" (MaaS) ، مما يعني أن المطور يقدم تصميمات معدة مسبقًا من البرامج الضارة للبيع للآخرين الذين يرغبون في نشرها بشكل أكبر . تتوفر هذه الإنشاءات المعدة مسبقًا للشراء مقابل 100 دولار ، مما يسهل على الجهات الخبيثة دمج البرامج الضارة في حملاتهم الخاصة.

وفقًا للباحثين في Uptycs ، الذين اكتشفوا MacStealer لأول مرة ، فإن التهديد يمكن أن يعمل على macOS Catalina (10.15) وجميع الإصدارات حتى الأحدث ، Ventura (13.2). هذا يعني أن جميع مستخدمي Mac تقريبًا من المحتمل أن يكونوا عرضة لهذه البرامج الضارة.

يمكن لـ MacStealer التنازل عن مجموعة واسعة من المعلومات الحساسة

MacStealer هو برنامج ضار تم اكتشافه في منتدى Dark Web غير المشروع ، حيث كان المطور يروج له. يدعي البائع أن البرنامج الضار لا يزال في مرحلته الأولى من تطوير بيتا وبالتالي لا يقدم أي لوحات أو منشآت. بدلاً من ذلك ، يتم بيع البرامج الضارة على أنها حمولات DMG مسبقة الصنع قادرة على إصابة macOS Catalina و Big Sur و Monterey و Ventura.

يوضح ممثل التهديد أن التهديد يتم بيعه بسعر منخفض جدًا نظرًا لعدم وجود منشئ أو لوحة ولكنه يعد بإضافة المزيد من الميزات المتقدمة قريبًا. وفقًا للمطور ، فإن MacStealer قادر على سرقة مجموعة واسعة من البيانات الحساسة من الأنظمة المخترقة.

على سبيل المثال ، يمكن لـ MacStealer سرقة كلمات مرور الحساب وملفات تعريف الارتباط وتفاصيل بطاقة الائتمان من متصفحات الويب الشهيرة مثل Firefox و Chrome و Brave. بالإضافة إلى ذلك ، يمكنه استخراج أنواع عديدة من الملفات ، بما في ذلك ملفات DOC و DOCX و PDF و TXT و XLS و XLSX و PPT و PPTX و CSV و BMP و MP3 و JPG و PNG و ZIP و RAR و PY و DB.

البرنامج الضار قادر أيضًا على استخراج قاعدة بيانات Keychain (login.keychain-db) في نموذج تشفير base64. هذا نظام تخزين آمن في أنظمة macOS يحتفظ بكلمات مرور المستخدمين ومفاتيحهم الخاصة وشهاداتهم وتشفيرهم بكلمة مرور تسجيل الدخول الخاصة بهم. يمكن للميزة إدخال بيانات اعتماد تسجيل الدخول تلقائيًا على صفحات الويب والتطبيقات.

أخيرًا ، يمكن لـ MacStealer جمع معلومات النظام ومعلومات كلمة مرور Keychain وسرقة محافظ العملات المشفرة من العديد من محافظ التشفير - Coinomi و Exodus و MetaMask و Martian Wallet و Phantom و Tron و Trust wallet و Keplr Wallet و Binance. كل هذه الميزات تجعل من MacStealer برنامجًا ضارًا خطيرًا ومثيرًا للقلق لمستخدمي Mac.

التدفق التشغيلي لبرنامج MacStealer الضار

يتم توزيع MacStealer من قبل الجهات المهددة كملف DMG غير موقع. يهدف الملف إلى التنكر في صورة شيء مشروع أو مرغوب فيه لخداع الضحية لتنفيذه على نظام macOS الخاص بهم. بمجرد تنفيذ الضحية للملف ، تظهر مطالبة كلمة مرور مزيفة ، والتي تقوم بتشغيل أمر يمكّن البرنامج الضار من جمع كلمات المرور من الجهاز المخترق.

بعد جمع كلمات المرور ، يواصل MacStealer جمع البيانات الحساسة الأخرى ، مثل كلمات مرور الحساب وملفات تعريف الارتباط وتفاصيل بطاقة الائتمان ومحافظ العملات المشفرة والملفات التي قد تكون حساسة. يقوم بعد ذلك بتخزين كل هذه البيانات في ملف ZIP ، والذي يتم إرساله إلى خوادم الأوامر والتحكم عن بُعد ليتم جمعها لاحقًا بواسطة ممثل التهديد.

في الوقت نفسه ، يرسل MacStealer معلومات أساسية محددة إلى قناة Telegram معدة مسبقًا ، مما يسمح بإخطار ممثل التهديد بسرعة في كل مرة يتم فيها سرقة بيانات جديدة وتنزيل ملف ZIP.

في حين أن معظم عمليات البرامج الضارة كخدمة (MaaS) تستهدف مستخدمي Windows ، فإن macOS ليس محصنًا ضد مثل هذه التهديدات. لذلك ، من المهم لمستخدمي macOS أن يظلوا يقظين وأن يتجنبوا تثبيت الملفات من مواقع الويب غير الجديرة بالثقة. بالإضافة إلى ذلك ، يجب على المستخدمين تحديث أنظمة التشغيل وبرامج الأمان الخاصة بهم للحماية من أحدث التهديدات.