
وجد الباحثون قطعة جديدة لم تُر من قبل من برامج خبيثة خاصة بنظام macOS تجمع بين سلسلة من الحيل الذكية لإصابة أجهزة ماك برمز مخصص تم تطويره لسرقة بيانات الاعتماد بشكل سري.
يتم تسليم البرمجيات الخبيثة على مرحلتين. تُوزع المرحلة الأولى في صورة قرص تتظاهر بأنها Maccy، وهي أداة لإدارة الحافظة لأجهزة ماك. تم تجميعها كلغة AppleScript التي تشتهر بالطريقة التي تقدم بها المرحلة الثانية. سميت البرمجيات الخبيثة PamStealer لأن برنامج سرقة المعلومات المكتوب بلغة Rust يستخدم واجهة وحدات المصادقة القابلة للتوصيل المدمجة في macOS للتحقق من كلمة مرور تسجيل الدخول المستهدفة قبل إرسالها إلى خادم يتحكم فيه المهاجم.
سلسلة تنفيذ أكثر هدوءًا
يعد استخدام كلاً من صورة القرص وAppleScript شائعًا في البرمجيات الخبيثة لأجهزة ماك. وما هو غير عادي هو الطريقة التي تجمع بها PamStealer بينهما لتحقيق السرية. عندما يتم النقر المزدوج على AppleScript، يتم فتحه في محرر سكربتات macOS، حيث يتم دفن الوظيفة الخبيثة في عمق الملف.
“بدلاً من الاعتماد على أوامر shell مثل curl أو zsh، تقوم AppleScript بتنفيذ محمّل JavaScript للتشغيل الآلي (JXA) يقوم باسترجاع وتحميل الحمولة باستخدام واجهات برمجة التطبيقات الأصلية Objective-C،” كتب الباحثون من Jamf، وهي شركة أمان لمستخدمي macOS، كتبوا. “مقترنة بمرحلة ثانية قائمة على Rust وعمليات التقاط كلمات المرور التي تتحقق من البيانات محليًا من خلال PAM، النتيجة هي سلسلة تنفيذ أكثر هدوءًا مما نلاحظ عادةً في برامج سرقة macOS التجارية.”
عندما يواجه المستخدم، الذي يتوقع تثبيت أداة موثوقة لإدارة الحافظة، صورة القرص، يتم تحفيزه على الضغط على Command-R مباشرة بعد النقر المزدوج عليها. هذا الأمر ينفذ رمزًا خبيثًا داخل AppleScript مباشرة. كما أنه يسمح بالتنفيذ لتجاوز com.apple.quarantine، وهي خاصية في macOS تقدم تحذيرات وقيود عند تنزيل ملفات تنفيذية من الإنترنت.
كما أوضحت Jamf:
تجمع PamStealer بين سطح تسليم ناشئ حديثًا وحمولة أقل معرفة. بينما تبني الروابط القابلة للنقر .scpt ومحرر السكربتات على حيل بدأت بالفعل تحظى بقبول عبر مشهد التهديدات لنظام macOS، تميز البرمجيات الخبيثة نفسها من خلال مُحمّل JXA المضمن، ومرحلة ثانية قائمة على Rust، وعملية التقاط كلمات المرور التي تتحقق من البيانات محليًا من خلال PAM قبل تجميعها. تبذل تلك المرحلة الثانية جهدًا كبيرًا في البقاء مخفية، متظاهرة بأنها Finder، وتشفير حركة المرور الخاصة بالتحكم والأوامر، وتأجيل الطلبات مثل طلب الوصول الكامل إلى القرص لمدة قد تصل إلى أربعين دقيقة حتى لا يتطابق نشاطها مع التشغيل. معًا، توضح هذه السلوكيات كيف تستمر البرمجيات الخبيثة التجارية على نظام macOS في التطور، معتمدةً سلاسل تنفيذ أكثر هدوءًا وتنفيذات أصلية تقلل من فرص الكشف التقليدية مع البقاء متوافقة مع ميزات macOS القياسية.
تضع المرحلة الأولى حمولتها داخل حزمة تطبيق تتظاهر بأنها مكونات حقيقية مدمجة في macOS. يتغير المكون من عينة إلى أخرى من البرمجيات الخبيثة. Finder.app تحت com.apple.finder.core أو com.apple.finder.monitor، وSoftware Update.app تحت com.apple.security.daemon، هما مثالان على ذلك. في كلتا الحالتين، يتم تشغيلهما في الخفاء. كما تعرض الأيقونة الحقيقية لـ Finder.icns الخاصة بـ macOS.
