تطبيق حافظة ماك المزيف يُوصِل برمجية خبيثة جديدة لسرقة كلمات المرور

أطلق باحثو الأمن السيبراني في شركة “جامف ثريت لابس” تحذيرًا لمستخدمي أجهزة ماك الذين يبحثون عن تطبيق “ماكسي” مفتوح المصدر لإدارة الحافظة. فقد اكتشفوا وجود نسخة مزيفة من التطبيق تنصب برنامجًا ضارًا جديدًا مبنيًا على لغة “رست” أُطلق عليه اسم “بام ستيلر”. هذا البرنامج يهدف إلى سرقة كلمات المرور ومفاتيح محافظ العملات الرقمية.
في تقرير نُشر يوم الخميس، أوضحت “جامف ثريت لابس” أن الحملة الخبيثة تستخدم موقعًا إلكترونيًا يشبه الموقع الأصلي لتوزيع ملف صورة قرص يحتوي على ملف نصي ضار من نوع “أبل سكريبت” باسم ماكسي.سكربت. عندما يفتح المستخدم الملف، تظهر له تعليمات تطالبه بتشغيله عبر محرر “سكربت إيديتور” من أبل، بينما يخفي الكود الضار في الجزء السفلي من المستند.
وكتبت “جامف ثريت لابس”: “نحن نتعقب هذا البرنامج الضار تحت اسم بام ستيلر نسبة إلى أحد سلوكياته الأساسية: التحقق من كلمة مرور تسجيل دخول الضحية من خلال وحدات المصادقة القابلة للتوصيل في نظام ماك قبل سرقتها”.
من هناك، يستخدم البرنامج الضار تقنية “جافا سكريبت للأتمتة” وواجهات برمجة التطبيقات الأصلية لنظام ماك لتنزيل حمولة ضارة من المرحلة الثانية دون الاعتماد على أدوات الصدفة الشائعة مثل كيرل أو زدش، مما يقلل من عدد العمليات التي تستطيع أدوات الأمن مراقبتها.
وقال جارون برادلي، مدير “جامف ثريت لابس”، إن المهاجمين يشترون مساحات إعلانية على جوجل لجذب المستخدمين إلى التطبيقات الضارة. وأضاف “لاحظنا مؤخرًا إعلانات ضارة تُنشر على منصة إكس أيضًا. أثبتت تقنيات الهندسة الاجتماعية هذه نجاحًا كبيرًا”.
وبحسب التقرير، فإن المرحلة الثانية هي ملف ثنائي مبني على لغة “رست” ومصمم لأجهزة ماك بمعالجات أبل سيليكون. يتنكر هذا الملف على أنه تطبيق “فايندر” أو “تحديث البرامج”. وقالت الشركة إن الملف لا يخزن إعداداته كنص عادي، بل يستمد مفتاحًا من بصمة الجهاز المضيف -بما في ذلك بنية المعالج والإعدادات المحلية ولوحة المفاتيح والمنطقة الزمنية- ويستخدمه لفتح إعدادات مشفرة تحتوي على رابط الحمولة الضارة ومسار التثبيت.
بمجرد تثبيت البرنامج الضار، يمكنه سرقة بيانات اعتماد المتصفح وبيانات “كي شين”، ومراقبة محتويات الحافظة، وإنشاء نقاط استمرارية في النظام، وإرسال المعلومات المسروقة إلى خادم تحكم عن بعد باستخدام اتصالات مشفرة. إذا لم يستطع البرنامج التأكد من أنه يعمل على الجهاز المستهدف، فإنه يغلق نفسه بهدوء.
يحاول البرنامج الضار أيضًا توسيع صلاحياته عن طريق عرض نافذة مزيفة من “فايندر” تطلب من المستخدم منح صلاحية الوصول الكامل للقرص. يمكن أن يظهر هذا الطلب بعد 40 دقيقة من الإصابة، مما يقلل احتمالية ربط المستخدم له بالتحميل الأصلي. وإذا وافق المستخدم، يمكن للبرنامج الوصول إلى البيانات المحمية، بما في ذلك البريد الإلكتروني والرسائل ونسخ احتياطية من تايم ماشين.
ووفقًا لبرادلي، لم ترصد “جامف” أي دليل على أن “بام ستيلر” نشط حاليًا، لكن الشركة أبلِغت أبل باكتشافها. لم ترد أبل على الفور على طلب للتعليق من موقع ديكريبت.
تقول “جامف” إنها تشهد انتشار تقنيات الهندسة الاجتماعية المماثلة إلى منصات أخرى. ففي الأسبوع الماضي، قالت الشركة إنها تحقق في إعلان مدعوم على منصة إكس يروّج لتطبيق دايناميك ليك، وقد أعاد توجيه المستخدمين إلى موقع وهمي حيث طُلب منهم فتح تطبيق تيرمنال وتنفيذ أمر تثبيت. وأضافت الشركة أن الإعلان تم نشره عبر حساب موثق على إكس، مما أضاف طبقة ثقة إضافية للهندسة الاجتماعية. وكشف تحليل الحمولة الضارة عن وجود نسخة حديثة من برنامج أتوميك (ماك سينك) ستيلر.
تأتي هذه النتائج في وقت يزيد فيه المهاجمون من تمويه البرامج الضارة على أنها برامج شرعية، واستغلال منصات المطورين الموثوقة وقنوات الإعلانات. تشمل الحملات الأخيرة مستودعًا مزيّفًا لشركة أوبن إيه آي تصدر قائمة المشاريع الرائجة على موقع هاغينغ فيس قبل توزيع برنامج سرقة مبني على رست، وإضافة ضارة لبرنامج فيجوال ستوديو كود كشفت عن حوالي 3800 مستودع داخلي، وحملة شاي-هولدود على سلسلة الإمداد البرمجي التي استهدفت أدوات تطوير تستخدمها شركات الذكاء الاصطناعي مثل أوبن إيه آي وميسترال إيه آي.
أسئلة وأجوبة شائعة
- س: ما هو برنامج بام ستيلر وكيف يعمل؟
ج: بام ستيلر هو برنامج ضار جديد يستهدف مستخدمي أجهزة ماك. ينتحل صفة تطبيق أ Maccy لإدارة الحافظة. عند تثبيته، يسرق كلمات المرور ومفاتيح محافظ العملات الرقمية. يستخدم تقنيات الهندسة الاجتماعية مثل المواقع المزيفة والإعلانات الخادعة للوصول للضحايا. - س: كيف أحمي نفسي من برامج مثل بام ستيلر؟
ج: يجب تحميل البرامج فقط من المصادر الرسمية الموثوقة مثل متجر التطبيقات الرسمي لأبل. تجنب النقر على الإعلانات المشبوهة التي تروّج لتطبيقات مجانية أو شائعة. حافظ على تحديث نظام التشغيل وبرامج الأمان دائمًا، ولا تمنح صلاحيات الوصول الكامل إلا للتطبيقات التي تثق بها تمامًا. - س: هل تم رصد بام ستيلر في هجمات فعلية حتى الآن؟
ج: وفقًا لشركة جامف ثريت لابس، لم يتم رصد أي دليل على أن البرنامج الضار نشط في هجمات حقيقية حتى الآن. لكن الشركة أبلِغت أبل بهذا الاكتشاف لأخذ الإجراءات اللازمة.












