تعرض حملة البرامج الضارة لنظام التشغيل macOS تقنية جديدة للتسليم

أطلق باحثون أمنيون ناقوس الخطر بشأن حملة هجوم إلكتروني جديدة باستخدام نسخ متصدعّة من منتجات البرامج الشهيرة لتوزيع باب خلفي على مستخدمي macOS.

ما الذي يجعل الحملة مختلفة عن العديد من الحملات الأخرى التي استخدمت تكتيكًا مشابهًا - مثل تلك التي تم الإبلاغ عنها في وقت سابق من هذا الشهر التي تنطوي على المواقع الصينية - هو حجمها الهائل وتقنية توصيل الحمولة النافعة الجديدة والمتعددة المراحل. تجدر الإشارة أيضًا إلى استخدام جهة التهديد لتطبيقات macOS المكسورة ذات العناوين التي من المحتمل أن تهم مستخدمي الأعمال، لذا فإن المؤسسات التي لا تقيد ما يقوم المستخدمون بتنزيله يمكن أن تكون معرضة للخطر أيضًا.

كان كاسبيرسكي أول من قام بذلك اكتشاف والإبلاغ على الباب الخلفي لـ Activator macOS في يناير 2024. وأظهر التحليل اللاحق للنشاط الضار الذي أجراه SentinelOne أن البرامج الضارة "ينتشر عبر السيول من تطبيقات macOS"، بحسب بائع الأمن.

يقول فيل ستوكس، باحث التهديدات في SentinelOne: "تعتمد بياناتنا على عدد وتكرار العينات الفريدة التي ظهرت عبر VirusTotal". "في شهر يناير، منذ اكتشاف هذه البرامج الضارة لأول مرة، رأينا نماذج فريدة منها أكثر من أي برامج ضارة أخرى لنظام التشغيل MacOS قمنا بتتبعها خلال نفس الفترة الزمنية."

يقول ستوكس إن عدد عينات الباب الخلفي لـ Activator الذي لاحظته SentinelOne هو أكثر من حجم برامج الإعلانات المتسللة لنظام التشغيل MacOS وأدوات تحميل البرامج (مثل Adload وPirrit) التي تدعمها شبكات تابعة كبيرة. "على الرغم من عدم وجود بيانات لدينا لربط ذلك بالأجهزة المصابة، فإن معدل التحميلات الفريدة إلى VT وتنوع التطبيقات المختلفة المستخدمة كإغراءات يشير إلى أن الإصابات في البرية ستكون كبيرة."

بناء شبكة الروبوتات لنظام التشغيل MacOS؟

أحد التفسيرات المحتملة لحجم النشاط هو أن جهة التهديد تحاول تجميع شبكة الروبوتات لنظام التشغيل MacOS، لكن هذه تظل مجرد فرضية في الوقت الحالي، كما يقول ستوكس.

يستخدم ممثل التهديد الذي يقف وراء حملة Activator ما يصل إلى 70 تطبيقًا فريدًا من تطبيقات macOS - أو تطبيقات "مجانية" مع إزالة حماية النسخ - لتوزيع البرامج الضارة. تحتوي العديد من التطبيقات المتصدعة على عناوين تركز على الأعمال والتي قد تكون ذات أهمية للأفراد في أماكن العمل. عينة: Snag It، وNisus Writer Express، وRhino-8، وهي أداة لنمذجة الأسطح للهندسة والهندسة المعمارية وتصميم السيارات وحالات الاستخدام الأخرى.

يقول ستوكس: "هناك العديد من الأدوات المفيدة لأغراض العمل والتي يستخدمها macOS.Bkdr.Activator كإغراءات". "قد يتعرض أصحاب العمل الذين لا يقيدون ما يمكن لمستخدمي البرامج تنزيله لخطر التسوية إذا قام المستخدم بتنزيل تطبيق مصاب بالباب الخلفي."

عادةً ما تقوم الجهات الفاعلة التي تسعى إلى توزيع البرامج الضارة عبر التطبيقات المخترقة بتضمين التعليمات البرمجية الضارة والأبواب الخلفية داخل التطبيق نفسه. في حالة Activator، استخدم المهاجم استراتيجية مختلفة إلى حد ما لفتح الباب الخلفي.  

طريقة التسليم المختلفة

على عكس العديد من تهديدات البرامج الضارة لنظام التشغيل MacOS، لا يصيب Activator فعليًا البرنامج المخترق نفسه، كما يقول ستوكس. وبدلاً من ذلك، يحصل المستخدمون على نسخة غير قابلة للاستخدام من التطبيق المخترق الذي يريدون تنزيله، وتطبيق "Activator" الذي يحتوي على ملفين تنفيذيين ضارين. يُطلب من المستخدمين نسخ كلا التطبيقين إلى مجلد التطبيقات، وتشغيل تطبيق Activator.

يطلب التطبيق بعد ذلك من المستخدم كلمة مرور المسؤول، والتي يستخدمها بعد ذلك لتعطيل إعدادات Gatekeeper الخاصة بنظام التشغيل MacOS بحيث يمكن الآن تشغيل التطبيقات من خارج متجر التطبيقات الرسمي لشركة Apple على الجهاز. تبدأ البرامج الضارة بعد ذلك سلسلة من الإجراءات الضارة التي تؤدي في النهاية إلى إيقاف تشغيل إعداد إشعارات النظام وتثبيت وكيل الإطلاق على الجهاز، من بين أشياء أخرى. يعد Activator backdoor نفسه بمثابة أداة تثبيت وتنزيل في المرحلة الأولى للبرامج الضارة الأخرى.

يقول ستوكس إن عملية التسليم متعددة المراحل "تزود المستخدم بالبرنامج المخترق، ولكنها تكون خلف الضحية أثناء عملية التثبيت". "وهذا يعني أنه حتى لو قرر المستخدم لاحقًا إزالة البرنامج المكسور، فلن يؤدي ذلك إلى إزالة العدوى."

يشير سيرجي بوزان، محلل البرامج الضارة في Kaspersky، إلى جانب آخر من حملة Activator جدير بالملاحظة. يقول بوزان: "تستخدم هذه الحملة بابًا خلفيًا بلغة Python لا يظهر على القرص على الإطلاق، ويتم تشغيله مباشرة من برنامج التحميل النصي". "يعد استخدام نصوص Python بدون أي "مترجمين" مثل pyinstaller أكثر صعوبة بعض الشيء لأنه يتطلب من المهاجمين حمل مترجم Python في بعض مراحل الهجوم أو التأكد من تثبيت إصدار Python متوافق على الضحية."

يعتقد بوزان أيضًا أن أحد الأهداف المحتملة لممثل التهديد الذي يقف وراء هذه الحملة هو بناء شبكة الروبوتات لنظام التشغيل MacOS. ويضيف أنه منذ تقرير كاسبرسكي حول حملة المنشط، لم تلاحظ الشركة أي نشاط إضافي.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/cyberattacks-data-breaches/macos-malware-campaign-showcases-novel-delivery-technique