ظهر نوع جديد من البرامج الضارة لأجهزة ماك يُسمى “ريبر” (Reaper) ينتشر عبر صفحات تحميل مزيفة لتطبيقات مشهورة مثل “وي شات” (WeChat) و”ميرو” (Miro). بمجرد دخوله إلى جهازك، يسرق بيانات محافظ العملات الرقمية وكلمات المرور المحفوظة في المتصفح.
هذه النسخة أكثر ذكاءً من خدعة قديمة كانت تخدع المستخدمين بلصق أوامر ضارة في تطبيق “الطرفية” (Terminal). أغلقت أبل تلك الثغرة في تحديث حديث لنظام ماك، لكن “ريبر” وجد طريقة للالتفاف حولها باستخدام أداة أبل مدمجة أخرى لإحداث نفس الضرر.
محرر النصوص البرمجية يحل محل الطرفية كسطح هجوم
مواقع التحميل المزيفة تُشغّل تطبيق “محرر النصوص البرمجية” (Script Editor) عبر رابط خاص (applescript://). الكود الضار غير مرئي، حيث يخفيه المهاجمون باستخدام فن ASCII ومسافات بيضاء. إذا ضغط المستخدم على زر التشغيل في محرر النصوص، فإنه يشغل أوامر مخفية دون علمه.
تطبيق “محرر النصوص البرمجية” مثبت مسبقاً على كل أجهزة ماك، ومعظم الناس لا يربطونه بالفيروسات.
نطاقات مزيفة وتحديثات وهمية من أبل تبني الثقة
الهجوم يبدأ على نطاقات مزيفة تشبه النطاقات الحقيقية. اكتشف باحثو الأمن بنية تحتية مستضافة على نطاقات مايكروسوفت مزيفة، منها: mlcrosoft[.]co[.]com. بعد تشغيل السكربت، تظهر نافذة تحديث أمني مزيفة من أبل تطلب من الضحية إدخال كلمة مرور جهاز الكمبيوتر.
بعدها يتحقق “ريبر” من تخطيط لوحة المفاتيح. إذا كانت اللغة مضبوطة على الروسية، يتوقف البرنامج الضار. وإلا، فإنه ينشط هجومه.
محافظ العملات الرقمية والمتصفحات والمستندات كلها مستهدفة
“ريبر” يستهدف تطبيقات العملات الرقمية على سطح المكتب، بما في ذلك ليدجر لايف (Ledger Live)، وتريزور سويت (Trezor Suite)، وإكسودس (Exodus). يقوم البرنامج الضار بتعديل الكود الداخلي للمحافظ لاعتراض المعاملات المستقبلية وتحويل الأموال.
أيضاً، يسرق البرنامج بيانات الدخول المحفوظة من متصفحات كروم وفايرفوكس وإيدج، وكذلك من إضافات المتصفح مثل 1 باسوورد (1Password) وميتاماسك (MetaMask).
الملفات ذات الامتدادات .docx و .pdf و .xlsx و .wallet و .keys الموجودة في مجلدات سطح المكتب والمستندات يتم ضغطها في أجزاء بحجم 70 ميغابايت ورفعها إلى خادم تحكم خارجي. ولضمان استمرار الهجوم، يُثبت “ريبر” باباً خلفياً متخفياً في صورة مجلد تحديث برامج جوجل.
“ريبر” هو الحملة الثالثة خلال شهرين تقريباً التي تتبنى هذا النهج الآلي باستخدام محرر النصوص البرمجية، وفقاً لتحليل شركة مونلوك (Moonlock).
كان فريق أبحاث الأمن في مايكروسوفت قد وثق حملات مشابهة تتضمن أدلة مزيفة لحل مشاكل ماك نُشرت على منصات ميديام وكرافت وسكوير سبيس. هذه الحملات استخدمت نفس أسلوب “انقر للإصلاح” لتوصيل برامج ضارة عبر أوامر الطرفية. تم حذف تطبيقات المحافظ الحقيقية واستبدالها سراً بنسخ ضارة.
تحقق جيداً من روابط التحميل قبل تثبيت أي شيء جديد. إذا ظهرت نافذة منبثقة تطلب فجأة كلمة مرور ماك، لا تدخلها. أداة أمنية جيدة ستكتشف النصوص المخفية قبل أن تسبب ضرراً. إذا طلب منك موقع إلكتروني فتح “محرر النصوص البرمجية”، أغلق التبويب فوراً.
الأسئلة الشائعة
- س: كيف يحمي “ريبر” نفسه من الاكتشاف؟
ج: يخفي المهاجمون الكود الضار باستخدام فن ASCII ومسافات بيضاء، مما يجعله غير مرئي للمستخدم. كما يتحقق من تخطيط لوحة المفاتيح؛ إذا كان مضبوطاً على اللغة الروسية يتوقف البرنامج الضار عن العمل لتجنب اكتشافه. - س: ما هي البيانات التي يسرقها “ريبر” بالضبط؟
ج: يسرق بيانات محافظ العملات الرقمية مثل ليدجر لايف وتريزور سويت وإكسودس، وكلمات المرور المحفوظة في متصفحات كروم وفايرفوكس وإيدج، وبيانات من إضافات مثل 1 باسوورد وميتاماسك. كما يسرق الملفات من مجلدات سطح المكتب والمستندات. - س: كيف يمكنني حماية نفسي من هجمات مثل “ريبر”؟
ج: تحقق جيداً من روابط التحميل قبل تثبيت أي تطبيق. لا تدخل كلمة مرور جهاز ماك إذا ظهرت نافذة منبثقة غير متوقعة تطلبها. استخدم أداة أمنية جيدة تكتشف النصوص المخفية. إذا طلب منك موقع فتح تطبيق “محرر النصوص البرمجية”، أغلق التبويب فوراً.
