اكتشف باحثو كاسبرسكي سلالة غير تقليدية من البرمجيات الخبيثة التي تستهدف أجهزة آبل العاملة بنظام التشغيل macOS، إذ تُوزع هذه المجموعة غير المعروفة سابقًا من البرمجيات الخبيثة سريًا عبر التطبيقات المقرصنة، وتستهدف العملات المشفرة المخزنة في المحفظات الرقمية التابعة لمستخدمي نظام macOS.
وعند مقارنة هذه البرمجية الخبيثة الجديدة ببرمجيات حصان طروادة لخوادم الوكيل التي اكتشفها خبراء كاسبرسكي سابقًا، سنجد أنها تركز في إصابة المحفظات الرقمية.
وتتميز هذه البرمجية الخبيثة الجديدة بأمرين، هما:
- أنها تستخدم سجلات لخوادم (DNS) لتوصيل نصوصها الخبيثة المكتوبة بلغة البرمجة (بايثون) Python.
- أنها لا تكتفي بسرقة محفظات العملات المشفرة، بل تستبدل أيضًا تطبيق المحفظة بإصدار مصاب منه، مما يسمح لها بسرقة العبارة السرية المستخدمة للوصول إلى العملات المشفرة المخزنة في المحفظات.
وتستهدف هذه البرمجية الخبيثة أجهزة آبل العاملة بإصدار (13.6 macOS)، وأي إصدار أحدث منه، مما يشير إلى أنها تستهدف جميع حواسيب آبل الحديثة سواء كانت تعمل بمعالجات إنتل أو آبل سيليكون.
آلية عمل هذه البرمجية:
وقد حذر خبراء كاسبرسكي من أن هذه البرمجية تتميز بمستوى عالٍ من التخفي، إذ تحتوي ملفات صورة القرص المصابة بهذه البرمجية على (أداة تفعيل) وتطبيق مصاب. إذ تقوم أداة التفعيل، التي تبدو غير خبيثة من النظرة الأولى، بتفعيل التطبيق المصاب بعد إدخال كلمة مرور المستخدم.
يستخدم المهاجمون إصدارات مصابة سابقًا من التطبيق للهجوم، متلاعبين بالملفات القابلة للتفعيل لجعلها معطلة حتى اللحظة التي يشغل فيها المستخدم أداة التفعيل، إذ تضمن هذه المناورة تفعيل المستخدم التطبيق المصاب دون قصد.
بعد إتمام عملية التصحيح، تنفذ البرمجية الخبيثة حمولتها الأساسية عن طريق الحصول على السجلات النصية لنظام (DNS) خبيث، ثم فك تشفير برنامج نصي مكتوب بلغة بايثون منه. ويعمل البرنامج النصي بشكل لانهائي في محاولة لتحميل المرحلة التالية من سلسلة الإصابة، التي تكون أيضًا برنامجًا نصيًا مكتوبًا بلغة بايثون.
تبيّن أن غرض الحمولة التالية هو تنفيذ أوامر اعتباطية تستلمها من الخادم، على الرغم من عدم تلقي الحمولة أيّ أوامر أثناء التحقيق فيها وتحديث الباب الخلفي بانتظام، ومن الواضح أن حملة البرمجية الخبيثة ما تزال قيد التطوير. ومع ذلك، يشير كود البرمجية إلى أن الأوامر قد تكون نصوصًا مشفرة مكتوبة بلغة بايثون.
إلى جانب الوظائف المذكورة سابقًا، يحتوي البرنامج النصي على وظيفتين بارزتين تتضمنان اسم النطاق (apple-analyzer[.]com)، وتهدف كلتا الوظيفتين إلى التحقق من وجود تطبيقات لمحفظات العملات المشفرة واستبدالها بإصدارات حُملت من اسم النطاق ذاك. وقد لوحظ أن هذه المناورة تستهدف محفظات كلٍ من عملة البيتكوين وExodus، مما يحوّل هذه التطبيقات إلى كيانات خبيثة.
وتعليقًا على هذا التهديد؛ يقول سيرجي بوزان؛ وهو باحث أمني في شركة كاسبرسكي: “تؤكد هذه البرمجية الخبيثة التي تستهدف نظام التشغيل macOS على المخاطر الجسيمة المرتبطة بالبرامج المقرصنة. إذ يستخدم المجرمون السيبرانيون التطبيقات المقرصنة لاختراق حواسيب المستخدمين بسهولة والحصول على صلاحيات المسؤول من خلال مطالبة المستخدمين بإدخال كلمة مرورهم. كما يُظهرون إبداعًا مميزًا من خلال إخفائهم برنامجًا نصيًا مكتوبًا بلغة بايثون في سجل لخادم DNS، مما يزيد من مستوى تخفي البرمجية الخبيثة ضمن تدفق البيانات في الشبكة. لذلك يجب على المستخدمين توخي مستوى أعلى من الحذر، خاصة عند التعامل مع محفظاتهم للعملات المشفرة”.
وصايا خبراء كاسبرسكي:
لحماية أجهزتك وأصولك من العملات المشفرة، يوصي خبراء كاسبرسكي بإجراء التدابير التالية:
- احرص على تحميل التطبيقات من المتاجر الرسمية فقط، مثل متجر آب ستور.
- احرص على تثبيت حل أمني موثوق به واتبع توصياته. وبعدها سيقوم الحل الأمني بحل معظم المشكلات تلقائيًا، وتنبيهك إذا لزم الأمر.
- واظب على تحديث أنظمة تشغيل أجهزتك، وتطبيقاتك المهمة عند توفر التحديثات لها. فتثبيت إصدارات محدثة من البرامج يمكن أن يحل العديد من مشكلات السلامة.
- تحقق من كتابة العبارة الأولية وحفظها بشكل آمن عند إعداد محفظتك في جهازك. واستخدم حلًا أمنيًا موثوقًا، مثل Kaspersky Premium، لحماية تفاصيل العملات المشفرة المخزنة في جهازك المحمول أو حاسوبك الشخصي.
- استخدم كلمة مرور قوية، وتجنب استخدام كلمات مرور يسهل تخمينها أو استخدام كلمة مرور مكررة في حسابات أخرى، وهنا يمكنك استخدام Kaspersky Password Manager لإدارة كلمات مرورك بفعالية وأمان.