
وجد الباحثون قطعة جديدة لم يسبق رؤيتها من برامج malware لنظام macOS تجمع بين مجموعة من الحيل الذكية لإصابة أجهزة Mac برمز مخصص مسروق سري.
يتم توصيل البرامج الضارة على مرحلتين. تُوزع المرحلة الأولى في صورة قرص تتنكر كـ Maccy، مدير الحافظة لأجهزة Mac. يتم تجميعها كـ AppleScript التي تتميز بالطريقة التي تقدم بها المرحلة الثانية. سُمّي البرنامج الضار PamStealer لأن أداة سرقة المعلومات المكتوبة بلغة Rust تستخدم واجهة وحدات المصادقة القابلة للتوصيل المدمجة في macOS للتحقق من كلمة مرور تسجيل دخول الهدف قبل إرسالها إلى خادم يتحكم فيه المهاجم.
سلسلة تنفيذ أكثر هدوءًا
استخدام كل من صورة القرص وAppleScript شائع في البرامج الضارة لأجهزة Mac. ما هو غير عادي هو الطريقة التي تجمع بها PamStealer بينهما لتحقيق السرية. عندما يتم النقر المزدوج على AppleScript، يتم فتحه في محرر النصوص macOS، حيث تكون الوظيفة الخبيثة مدفونة عميقًا داخل الملف.
“بدلاً من الاعتماد على أوامر الشل مثل curl أو zsh، ينفذ AppleScript برنامج JavaScript للتشغيل الآلي (JXA) القابل للتنفيذ الذي يسترد ويجهز الحمولة باستخدام واجهات برمجة التطبيقات الأصلية Objective-C”، كتب باحثون من Jamf، وهي شركة أمنية لمستخدمي macOS، كتبوا. “بالإضافة إلى مرحلة ثانية مستندة إلى Rust وسير عمل لالتقاط كلمات المرور التي تتحقق من الاعتمادات محليًا عبر PAM، فإن النتيجة هي سلسلة تنفيذ أكثر هدوءًا مما نلاحظه عادةً في سرقات macOS التجارية.”
عندما يواجه المستخدم، الذي يتوقع تثبيت مدير حافظة موثوق، صورة القرص، يُطلب منه الضغط على Command-R مباشرةً بعد النقر المزدوج عليها. ينفذ هذا الأمر رمزًا ضارًا داخل AppleScript مباشرةً. كما يسمح للتنفيذ بتجاوز com.apple.quarantine، وهو سمة macOS التي توفر التحذيرات والقيود عندما يتم تنزيل ملفات تنفيذية من الإنترنت.
كما أوضحت Jamf:
يجمع PamStealer بين سطح توصيل ناشئ حديثًا وحمولة أقل ألفة. بينما تُفيد عناصر .scpt القابلة للنقر ومحرر النصوص في تعزيز الحيل التي تكتسب بالفعل اعتمادًا عبر مشهد تهديدات macOS، يميز البرنامج الضار نفسه من خلال جاذبيته JXA الذاتية الطي، ومرحلة ثانية تعتمد على Rust، وسير عمل لالتقاط كلمات المرور الذي يتحقق من الاعتمادات محليًا عبر PAM قبل جمعها. تبث المرحلة الثانية جهدًا كبيرًا للبقاء مخفية، متخفية كـ Finder، مشفرة حركة مرور الأوامر والتحكم الخاصة بها، واحتجاز المطالبات مثل طلب الوصول الكامل إلى القرص لأطول فترة تصل إلى أربعين دقيقة حتى لا يتزامن نشاطها مع الإطلاق. معًا، توضح هذه السلوكيات كيف تستمر سرقات macOS التجارية في التطور، مع اعتماد سلاسل تنفيذ أكثر هدوءًا وتنفيذات أصلية تقلل من فرص الكشف التقليدية مع البقاء متوافقة مع ميزات macOS القياسية.
تضع المرحلة الأولى حمولتها داخل حزمة تطبيق تتنكر كمكونات حقيقية مدمجة في macOS. يتغير المكون من عينة إلى أخرى من البرامج الضارة. Finder.app تحت com.apple.finder.core أو com.apple.finder.monitor، وتحديث البرنامج.app تحت com.apple.security.daemon، هما مثالان. في كلتا الحالتين، تعملان في الخفاء. كما تعرض أيضًا أيقونة Finder.icns الأصلية الخاصة بـ macOS.
