Home تقنية تستخدم البرامج الضارة الجديدة لـ PamStealer macOS تقنية Tradecraft الذكية لتظل متخفية ...

تستخدم البرامج الضارة الجديدة لـ PamStealer macOS تقنية Tradecraft الذكية لتظل متخفية | itg-ar.com

3
0
تستخدم البرامج الضارة الجديدة لـ PamStealer macOS تقنية Tradecraft الذكية لتظل متخفية
| itg-ar.com

تستخدم البرامج الضارة الجديدة لـ PamStealer macOS تقنية Tradecraft الذكية لتظل متخفية

يقتبس قارئ مجهول تقريرًا من Ars Technica: اكتشف الباحثون قطعة لم يسبق لها مثيل من البرامج الضارة لنظام التشغيل macOS التي تجمع بين سلسلة من الحيل التجارية الذكية لإصابة أجهزة Mac بكود خفي تم تطويره خصيصًا لسرقة بيانات الاعتماد. يتم تسليم البرامج الضارة على مرحلتين. يتم توزيع الأول في صورة قرص تتنكر في صورة Maccy، وهو مدير الحافظة لأجهزة Mac. لقد تم تجميعه كـ AppleScript والذي يتميز بالطريقة التي يقدم بها المرحلة الثانية. تم تسمية البرنامج الضار باسم PamStealer لأن برنامج سرقة المعلومات المكتوب بواسطة Rust يستخدم واجهة Pluggable Authentication Modules المضمنة في نظام التشغيل macOS للتحقق من صحة كلمة مرور تسجيل الدخول الخاصة بالهدف قبل إرسالها إلى خادم يتحكم فيه المهاجم. (…) يعرض PamStealer مطالبة بكلمة مرور أصلية مصممة لتشبه طلب ترخيص النظام. النص الذي يظهر مع المطالبة يقول: “يريد Maccy إجراء تغييرات. أدخل كلمة المرور الخاصة بك للسماح بذلك.” وكما ذكرنا سابقًا، بمجرد امتثال الهدف، تقوم البرامج الضارة بالتحقق من صحته محليًا من خلال PAM API. “يتم هذا الفحص بالكامل من خلال PAM: لا يوجد اتصال بـ dscl أو الأمان أو osascript أو أي عملية تم إنشاؤها للتحقق من كلمة المرور، كما يفعل العديد من سارقي السلع الأساسية لنظام التشغيل macOS،” (قالت شركة Jamf، وهي شركة أمنية لمستخدمي macOS). “والنتيجة هي روتين أكثر هدوءًا يحتفظ فقط بكلمة مرور تم التحقق منها، وسلسلة عمليات أقل ليتمكن المدافعون من اكتشافها.” إذا فشل التحقق من الصحة، يعرض PamStealer المطالبات مرة أخرى حتى يتلقى المطالبات الصحيحة. بمجرد قيام الهدف بإدخال كلمة المرور الصحيحة، يعرض PamStealer رسالة تفيد بأن الملف تالف ولا يمكن تثبيته. تم تصميم هذا ليكون فخًا لمنع الهدف من الشك في وجود أي شيء خاطئ. تستخدم البرامج الضارة تكتيكات لتعظيم المعلومات التي يمكنها سرقتها. أحد الأساليب هو مطالبة الهدف بمنح الوصول الكامل للقرص إلى تطبيق Maccy المزيف. ويحتوي أيضًا على رمز مصمم للوصول إلى حسابات الإيثيريوم. إن التقنيات المختلفة – وخاصة إغراء محرر البرامج النصية، وقطارة JXA المستقلة، والمرحلة الثانية القائمة على الصدأ، والتحقق المحلي من صحة بيانات الاعتماد من خلال PAM كلها جديرة بالملاحظة.


تم النشر: 2026-07-03 16:00:00

مصدر: apple.slashdot.org