تحديث Trojan على macOS: الانتشار عبر تطبيق موقع مع تشفير بيانات المستخدم يزيد من مخاطر التخفي

أخبار BlockBeats، 23 ديسمبر، شارك كبير مسؤولي الأمن في SlowMist، 23pds، منشورًا يفيد بأن برمجية MacSync Stealer الخبيثة النشطة على منصة macOS قد شهدت تطورًا كبيرًا، حيث تم بالفعل سرقة أصول المستخدمين. وذكر المقال الذي شاركه أنه من التقنيات الأولية التي اعتمدت على "السحب والإفلات إلى الطرفية" و"ClickFix" لجذب المستخدمين بسهولة، تم تطويرها الآن لتشمل توقيع الشيفرة واستخدام تطبيقات Swift الموثقة من Apple، مما عزز بشكل كبير من قدرتها على التخفي.

اكتشف الباحثون أن هذه العينة يتم توزيعها على شكل صورة قرص باسم zk-call-messenger-installer-3.9.2-lts.dmg، متخفية كتطبيق مراسلة فورية أو أداة مساعدة لخداع المستخدمين لتنزيلها. وعلى عكس السابق، لم تعد النسخة الجديدة تتطلب أي عمليات طرفية من المستخدم، بل يتم سحبها وتنفيذها بواسطة أداة Swift مدمجة من خادم بعيد لتنفيذ عملية سرقة المعلومات.

تم توقيع هذه البرمجية الخبيثة بنجاح وتوثيقها من قبل Apple، ومعرف فريق المطورين هو GNJLS3UYZ4، ولم يتم إلغاء تجزئاتها ذات الصلة من قبل Apple وقت التحليل. هذا يعني أنها تتمتع بدرجة أعلى من "الموثوقية" ضمن آلية الأمان الافتراضية لنظام macOS، مما يسهل تجاوز يقظة المستخدمين. كما اكتشف البحث أن حجم ملف DMG كبير بشكل غير معتاد، ويحتوي على ملفات طُعم مثل ملفات PDF مرتبطة بـ LibreOffice لتقليل الشكوك أكثر.

أشار باحثو الأمن إلى أن مثل هذه أحصنة طروادة لسرقة المعلومات غالبًا ما تستهدف بيانات المتصفح، وبيانات اعتماد الحسابات، ومعلومات محافظ العملات المشفرة. ومع تزايد استغلال البرمجيات الخبيثة لآليات توقيع وتوثيق Apple، يواجه مستخدمو العملات المشفرة في بيئة macOS مخاطر متزايدة من التصيد وكشف المفاتيح الخاصة.