Miolab Stealer

ميولاب، المعروف أيضاً باسم نوفا، هو برنامج خبيث متطور لسرقة المعلومات، مصمم خصيصاً لاستهداف مستخدمي نظام macOS. يُوزع هذا البرنامج عبر منتديات المخترقين وفق نموذج البرمجيات الخبيثة كخدمة (MaaS)، مما يُمكّن مجرمي الإنترنت من الوصول إلى مجموعة أدوات قوية دون الحاجة إلى خبرة تقنية متعمقة. يستطيع هذا البرنامج الخبيث استخراج البيانات الحساسة من ملحقات محافظ العملات الرقمية، ومتصفحات الويب، وتطبيقات الإدارة المختلفة، بالإضافة إلى جمع الملفات مباشرةً من الأنظمة المخترقة. يُعدّ إزالته فور اكتشافه أمراً بالغ الأهمية للحد من الأضرار.

مصمم لتحقيق الكفاءة، ومبني للتهرب

لا يُعدّ برنامج Miolab مجرد برنامج سرقة بيانات بسيط؛ فهو يدمج لوحة تحكم مركزية وأدوات لإدارة الهجمات، مما يرفع مستوى خطورته بشكل ملحوظ. تُمكّن هذه البنية التحتية حتى المهاجمين ذوي المهارات المحدودة من تنفيذ حملات معقدة. كما تُحسّن بنيته الخفيفة والمُحسّنة من انتشاره، وتضمن أداءً ثابتًا عبر بيئات macOS المتنوعة، وتساعده على تجاوز آليات الكشف التقليدية.

القيادة والسيطرة: تبسيط إدارة الهجمات

توفر لوحة التحكم المدمجة للمهاجمين نظرة عامة منظمة على الضحايا المخترقين، بما في ذلك البيانات الجغرافية والمعلومات التي تم جمعها. كما تتضمن وظيفة لإعادة استخدام جلسات مصادقة جوجل المسروقة، مما يتيح الوصول غير المصرح به إلى الحسابات دون الحاجة إلى كلمات مرور أو تجاوز المصادقة الثنائية بشكل مباشر.

بالإضافة إلى ذلك، يدعم Miolab نشر صفحات توزيع خبيثة وأساليب هجوم مشابهة لـ ClickFix. ويستفيد المشغلون من الإشعارات الفورية عبر Telegram، ويمكنهم أتمتة مراحل مختلفة من حملاتهم، مما يزيد من كفاءة العمليات ونطاقها.

إمكانيات استخراج البيانات من المتصفح والعملات المشفرة

تستهدف مجموعة Miolab البيانات المخزنة في المتصفحات بشكل مكثف، حيث تستخرج بيانات الاعتماد ومعلومات الجلسات التي يمكن استغلالها لمزيد من الاختراقات. ويمتد نطاقها ليشمل المتصفحات الشائعة والمتخصصة على حد سواء، مما يوسع نطاق تأثيرها بشكل كبير.

• تشمل بيانات المتصفح الحساسة التي يتم جمعها كلمات المرور المحفوظة، وملفات تعريف الارتباط، وسجل التصفح، وتفاصيل التعبئة التلقائية مثل عناوين البريد الإلكتروني والعناوين البريدية.
• يتم أيضاً جمع بيانات المصادقة مثل رموز جوجل وملفات تعريف الارتباط الخاصة بسفاري.
  تشمل المتصفحات المستهدفة: كروم، إيدج، فايرفوكس، آرك، بريف، ليبروولف، أوبرا، أوبرا جي إكس، سي مونكي، متصفح تور، فيفالدي، ووترفوكس، ياندكس، وكوك كوك
• إلى جانب المتصفحات، يركز برنامج Miolab بشكل كبير على أصول العملات المشفرة من خلال استخراج ملفات مثل .dat و .key و .keys من أكثر من 200 إضافة للمحافظ الرقمية. كما يستهدف التطبيقات المستخدمة لإدارة محافظ الأجهزة، مما يتيح سرقة بيانات الاسترداد الهامة.
• تشمل أدوات العملات المشفرة المستهدفة: Atomic Wallet، وBinance، وBitcoin، وDashCore، وDogecoin، وElectrum، وExodus، وGuarda، وLitecoin، وMonero، وTonkeeper، وWasabi Wallet

• تستهدف تطبيقات مثل Ledger Live و Ledger Wallet و Trezor Suite على وجه التحديد استخراج عبارة الاسترداد المكونة من 24 كلمة

ما وراء المتصفحات: المراسلة واستغلال البيانات المحلية

يتوسع نطاق هذا البرنامج الخبيث ليشمل تطبيقات التواصل والإنتاجية. فهو قادر على اختراق الجلسات النشطة على منصات مثل تيليجرام وديسكورد، مما يمنح المهاجمين إمكانية الوصول إلى الحسابات دون الحاجة إلى بيانات اعتماد. كما يقوم بفحص تطبيق الملاحظات من آبل، وهو موقع شائع قد يخزن فيه المستخدمون معلومات حساسة عن غير قصد، مثل كلمات المرور أو عبارات استعادة العملات الرقمية.

بعد اكتمال جمع البيانات، يقوم برنامج Miolab بضغط المعلومات المسروقة في ملف ZIP ثم يسحبها عبر بروتوكول HTTP. ولإخفاء نشاطه، يعرض رسالة خطأ مضللة على نظام macOS تشير إلى أن التطبيق لا يمكن تشغيله.

الأثر: التكلفة الحقيقية للعدوى

قد تؤدي الإصابة ببرنامج Miolab الخبيث إلى عواقب وخيمة. فقد يتعرض الضحايا لخسائر مالية نتيجة سرقة العملات المشفرة، والوصول غير المصرح به إلى الحسابات، وسرقة الهوية، والإضرار بالسمعة، واحتمالية الإصابة ببرامج خبيثة أخرى نتيجة للاختراق الأولي.

سلسلة العدوى: الهندسة الاجتماعية في جوهرها

يعتمد برنامج Miolab بشكل كبير على الخداع لاختراق الأنظمة. يقوم مجرمو الإنترنت بتوزيعه عبر تطبيقات macOS مزيفة مُغلّفة كملفات صور أقراص (.DMG)، مصممة بعناية لتشبه البرامج الأصلية. غالبًا ما تتميز هذه البرامج المثبتة بعلامات تجارية وأيقونات وواجهات مستخدم مقنعة لزيادة مصداقيتها.

بمجرد تشغيله، يبدأ البرنامج الخبيث عملية إصابة متعددة المراحل. يعرض واجهة تثبيت وهمية تحث المستخدمين على تجاوز تحذيرات الأمان بالنقر بزر الفأرة الأيمن واختيار "فتح". ثم يحاول إغلاق تطبيق Terminal للحد من إمكانية رؤية أنشطته. ويظهر مربع حوار مزيف لكلمة مرور macOS، لخداع المستخدمين وحملهم على إدخال بيانات اعتماد النظام الخاصة بهم.

بعد التحقق من صحة كلمة المرور، يجمع برنامج Miolab معلوماتٍ على مستوى النظام، بما في ذلك مواصفات الأجهزة وإعدادات البرامج. ثم يبدأ بفحص المجلدات الرئيسية مثل سطح المكتب والمستندات والتنزيلات، مستهدفًا ملفات مثل المستندات وجداول البيانات وملفات PDF والبيانات المتعلقة بكلمات المرور. خلال هذه العملية، قد يواجه المستخدمون طلبات أذونات، بينما يقوم البرنامج الخبيث بتجميع البيانات المُجمّعة وإعدادها للتسريب دون علم المستخدم.