Home تقنية PamStealer المكتشف حديثًا ليس برنامجًا ضارًا نموذجيًا لنظام التشغيل MacOS | itg-ar.com

PamStealer المكتشف حديثًا ليس برنامجًا ضارًا نموذجيًا لنظام التشغيل MacOS | itg-ar.com

7
0
PamStealer المكتشف حديثًا ليس برنامجًا ضارًا نموذجيًا لنظام التشغيل MacOS
| itg-ar.com

PamStealer المكتشف حديثًا ليس برنامجًا ضارًا نموذجيًا لنظام التشغيل MacOS

اكتشف الباحثون قطعة من البرامج الضارة لنظام التشغيل macOS لم يسبق لها مثيل والتي تجمع بين سلسلة من الحيل الذكية لإصابة أجهزة Mac برموز برمجية خفية وسرقة بيانات الاعتماد تم تطويرها خصيصًا. يتم تسليم البرامج الضارة على مرحلتين. يتم توزيع الأول في صورة قرص تتنكر في صورة Maccy، وهو مدير الحافظة لأجهزة Mac. لقد تم تجميعه كـ AppleScript والذي يتميز بالطريقة التي يقدم بها المرحلة الثانية. تم تسمية البرنامج الضار باسم PamStealer لأن برنامج سرقة المعلومات المكتوب بواسطة Rust يستخدم واجهة Pluggable Authentication Modules المضمنة في نظام التشغيل macOS للتحقق من صحة كلمة مرور تسجيل الدخول الخاصة بالهدف قبل إرسالها إلى خادم يتحكم فيه المهاجم. سلسلة تنفيذ أكثر هدوءًا يعد استخدام كل من صورة القرص وAppleScript أمرًا شائعًا في البرامج الضارة لأجهزة Mac. الأمر الأكثر غرابة هو الطريقة التي يجمعها بها PamStealer للحصول على التخفي. عند النقر نقرًا مزدوجًا فوق AppleScript، يتم فتحه في macOS Script Editor، حيث تكون الوظائف الضارة مخفية عميقًا داخل الملف. كتب باحثون من شركة Jamf، وهي شركة أمنية لمستخدمي macOS: “بدلاً من الاعتماد على أوامر shell مثل curl أو zsh، يقوم AppleScript بتنفيذ برنامج تنزيل JavaScript for Automation (JXA) الذي يسترد الحمولة وينظمها باستخدام واجهات برمجة تطبيقات Objective-C الأصلية”. “إلى جانب المرحلة الثانية المستندة إلى Rust وسير عمل التقاط كلمة المرور الذي يتحقق من صحة بيانات الاعتماد محليًا من خلال PAM، تكون النتيجة سلسلة تنفيذ أكثر هدوءًا مما نلاحظه عادةً في سارقي السلع الأساسية لنظام التشغيل macOS.” عندما يواجه المستخدم، الذي يتوقع تثبيت مدير حافظة جدير بالثقة، صورة القرص، تتم مطالبته بالضغط على Command-R فورًا بعد النقر المزدوج عليها. ينفذ هذا الأمر تعليمات برمجية ضارة داخل AppleScript مباشرةً. كما يسمح أيضًا بالتنفيذ لتجاوز com.apple.quarantine، وهي إحدى سمات نظام التشغيل macOS التي توفر تحذيرات وقيودًا عند تنزيل الملفات القابلة للتنفيذ من الإنترنت. كما أوضح Jamf: يجمع PamStealer بين سطح التسليم الناشئ مؤخرًا وحمولة أقل شهرة. في حين أن إغراء .scpt ومحرر البرامج النصية القابل للنقر يعتمدان على التجارة التي تكتسب بالفعل اعتماداً عبر مشهد تهديدات نظام التشغيل macOS، فإن البرمجيات الخبيثة تميز نفسها من خلال قطارة JXA المستقلة، والمرحلة الثانية المستندة إلى الصدأ، وسير عمل التقاط كلمة المرور الذي يتحقق من صحة بيانات الاعتماد محليًا من خلال PAM قبل حصادها. تبذل هذه المرحلة الثانية جهدًا كبيرًا للبقاء مخفيًا، والتنكر في هيئة Finder، وتشفير حركة مرور الأوامر والتحكم، وإيقاف المطالبات مثل طلب الوصول إلى القرص الكامل لمدة تصل إلى أربعين دقيقة حتى لا يتماشى نشاطها مع الإطلاق. توضح هذه السلوكيات معًا كيف يستمر سرقة السلع الأساسية لنظام التشغيل macOS في التطور، حيث يعتمدون سلاسل تنفيذ أكثر هدوءًا وتطبيقات أصلية تقلل من فرص الاكتشاف التقليدية مع الحفاظ على التوافق مع ميزات macOS القياسية. تضع المرحلة الأولى حمولتها داخل حزمة تطبيقات تحاكي المكونات الحقيقية المضمنة في نظام التشغيل macOS. يتغير المكون من عينة إلى عينة من البرامج الضارة. Finder.app ضمن com.apple.finder.core أو com.apple.finder.monitor، وSoftware Update.app ضمن com.apple.security.daemon، هما مثالان. وفي كلتا الحالتين، فإنها تعمل مخفية. كما أنها تعرض أيضًا Finder.icns الأصلي لنظام التشغيل macOS كرمز له.


تم النشر: 2026-07-02 20:38:00

مصدر: arstechnica.com