برمجية PamStealer تستغل مواقع مزيّفة وفحوص PAM لسرقة كلمات مرور macOS

كشف باحثو Jamf Threat Labs عن برمجية جديدة تستهدف أنظمة macOS باسم PamStealer، حيث يتم توزيعها عبر مواقع مزيّفة تنتحل هوية تطبيق Maccy، وهو مدير حافظة مفتوح المصدر. الموقع المزيف “maccyapp[.]com” يقلّد الموقع الرسمي “maccy[.]app”، ويحتوي على ملف AppleScript باسم “Maccy.scpt” يعمل كمرحلة أولى لتنزيل حمولة خبيثة لاحقة مكتوبة بلغة Rust.

تقنيات التنفيذ والتخفي

الملف الأولي يعتمد على JavaScript for Automation (JXA) ويستغل واجهات Objective-C لتنزيل الحمولة. عند تشغيله عبر محرر السكربتات، يُظهر تعليمات للمستخدم لتشغيله باستخدام اختصار “⌘ + R”، ما يؤدي إلى تنفيذ الشيفرة الخبيثة المخفية أسفل كتلة من الأسطر الفارغة.

الملف يتجاوز حماية Gatekeeper وTerminal حتى مع وجود سمة “com.apple.quarantine”، ما يجعله جذابًا للمهاجمين. كما يتضمن فحوص بيئية للتأكد من تشغيله على أجهزة Apple Silicon، ويُنشئ مفتاحًا مشتقًا من معمارية المعالج، اللغة، تخطيط لوحة المفاتيح، والمنطقة الزمنية لفك تشفير إعدادات تحتوي على رابط الحمولة ومسار التثبيت. على أجهزة Intel، يفشل فك التشفير ويتوقف التنفيذ.

إضافة إلى ذلك، يتجنب التنفيذ في بيئات التحليل أو الأجهزة التي تقع في دول شرق أوروبا مثل روسيا وبيلاروسيا وكازاخستان وأرمينيا وأذربيجان وغيرها، ما يعكس محاولة واضحة لتفادي الرصد.

سرقة كلمات المرور عبر PAM

الحمولة الثانية عبارة عن ملف Mach-O مكتوب بلغة Rust يتنكر كتطبيق Finder، ويقوم بجمع بيانات من المتصفحات، امتدادات محافظ العملات الرقمية، iCloud Keychain، ومحتوى الحافظة. كما يطلب من المستخدم إدخال كلمة مرور النظام عبر نافذة أصلية، ثم يتحقق منها باستخدام واجهة PAM. إذا كانت كلمة المرور خاطئة، يعيد الطلب حتى يحصل على الكلمة الصحيحة.

بعد نجاح السرقة، يظهر تنبيه مزيف يقول: “Maccy تالف ولا يمكن فتحه. يجب نقله إلى سلة المهملات”، وهو نسخة مشابهة لرسالة Gatekeeper الأصلية، بهدف إقناع المستخدم بأن التنزيل فشل بينما تكون البرمجية قد نفذت مهامها بالفعل.

تحذيرات المطورين وإجراءات الحماية

المطور الأصلي لتطبيق Maccy، Alex Rodionov، نشر تحذيرًا على موقعه الرسمي ومستودع GitHub، مؤكدًا أن الموقع الشرعي الوحيد هو “maccy[.]app”، وأن المواقع المزيفة مثل “maccyapp[.]net” و”maccyapp[.]com” توزع برمجيات خبيثة.

الخبراء ينصحون المستخدمين بـ:

  • تحميل التطبيقات فقط من المواقع الرسمية أو متاجر موثوقة.
  • التحقق من الأذونات الممنوحة للتطبيقات.
  • تفعيل أنظمة الحماية المدمجة في macOS وعدم تعطيلها.
  • الحذر من أي طلبات إدخال كلمة مرور خارج السياق المعتاد.
محمد طاهر
محمد طاهر
المقالات: 1727

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.