حذّرت جهات أمنية من حملة توزيع برمجية خبيثة مخصصة لنظام macOS تُعرف باسم JSCoreRunner، تُروَّج عبر تطبيقات ومواقع تدّعي تحويل ملفات PDF. بحسب شركة إدارة أجهزة Apple Mosyle، يُحمّل المستخدمون الحزمة من مواقع مثل fileripple[.]com ثم يبدأ الهجوم الذي يشتمل على اختطاف متصفح Chrome وتعديل إعدادات محرك البحث الافتراضي لصالح مزوّد بحث زائف، ما يتيح للمهاجمين تتبّع عمليات البحث وإعادة التوجيه إلى مواقع احتيالية تعرض الضحايا لمخاطر سرقة بياناتهم ومالهم.
كيف تتم عملية الإصابة — هجوم من مرحلتين
تتألّف الحملة الموصوفة من مرحلتين رئيسيتين:
-
المرحلة الأولى — الحزمة الأولية الموقّعة (المُلغاة لاحقًا): يحمّل المستخدم مشغّلًا يبدو شرعيًا ويأتي بتوقيع رقمي ظاهريًا موثوقًا؛ غير أن شركة Apple ألغت لاحقًا صلاحية هذا التوقيع، ما يعكس محاولة مهاجِمين الالتفاف على ضوابط التثبيت.
-
المرحلة الثانية — الحمولة الثانوية والنهائية غير الموقّعة: بعد تشغيل الحزمة الأولية، تقوم الأخيرة بجلب حمولة ثانوية غير موقّعة من نفس النطاق، وهذه الحمولة هي التي تنفّذ بدورها الشيفرة الخبيثة الأساسية (JSCoreRunner) وتبدأ إجراءات الاتصال بالخوادم البعيدة وتعديل إعدادات المتصفح.
بهذه الطريقة يتحول تثبيت تطبيق خداعي بسيط إلى بوابة لزرع برمجية خبيثة تعمل بصمت في خلفية النظام.
أثر الاختطاف وأهداف المهاجمين
بمجرد نجاح الإصابة، تعدّل البرمجية إعدادات متصفح Chrome بحيث يصبح مزوّد البحث الافتراضي موجهًا إلى خادم خبيث؛ هذا التكتيك يسمح للمهاجمين بتتبع عمليات البحث، حقن صفحات مزورة في نتائج البحث، وإعادة توجيه الضحايا إلى مواقع تصيد أو دفع بوتقات احتيالية، مما يرفع مخاطر استنزاف معلومات الاعتماد، سرقة بيانات حسّاسة، أو خسائر مالية نتيجة عمليات احتيال على الويب.
خلفية سياقية – نافذة على اتجاهات هجوم macOS
تتواصل محاولات استهداف مستخدمي macOS عبر تطبيقات مزوّرة ومواقع تحميلٍ احتيالية منذ سنوات؛ إذ يعتمد المهاجمون غالبًا على واجهات تثبيت تبدو شرعية أو على توقيع رقمي مسروق/مزوّر لتجاوز عوائق Gatekeeper وقيود Apple. خطوة Apple في إبطال التوقيع الرقمي للحزمة الأولية تُظهر تصاعد رقعة المواجهة بين فرق الاستجابة (MDM/EDR) ومزوّدي البرمجيات الخبيثة، وهي تذكير بأن التوقيع الرقمي وحده لم يعد حصنًا كاملاً ضد الحملات المتقنة.
إرشادات فنية واستجابة سريعة للمؤسسات والمستخدمين
للحماية والتعامل مع هذا النوع من الحوادث ننصح باتباع التدابير التالية:
-
امتنع عن تنزيل أدوات تحويل PDF من مصادر غير رسمية أو من مواقع مجهولة السمعة؛ الأفضل استخدم برامج معروفة أو وظائف النظام الرسمية.
-
تحقّق من صلاحية التوقيع الرقمي قبل التثبيت، وتحديث سجلات السمعة والـMDM التي تكشف عن الحزم المرفوضة أو الملغاة.
-
إجراء فحص فوري للأجهزة المصابة: إزالة التطبيقات المشتبه بها، فحص النظام باستخدام حلول مضادّة للبرمجيات الخبيثة، ومراجعة الإعدادات والامتيازات الممنوحة للتطبيقات.
-
استعادة إعدادات المتصفح: إعادة تعيين محرك البحث الافتراضي في Chrome، إلغاء أي إضافات أو امتدادات غير معروفة، ومسح ملفات التهيئة (profiles) المشبوهة.
-
حظر نطاقات وبنى الشبكة المشبوهة المرتبطة بالحملات عبر قوائم الحظر على مستوى الشبكة والجدار الناري، ومراقبة اتصالات الخوادم البعيدة.
-
نشر سياسات تثبيت صارمة عبر MDM/EDR في المؤسسات: منع تثبيت البرمجيات من خارج المتاجر الموثوقة، ومنع تنفيذ الشيفرات غير الموقعة، وتطبيق مبدأ الأدنى من الامتيازات.
-
توعية المستخدمين بعدم تخطي تحذيرات النظام المتعلقة بالتوقيع والتحقق، والتنبيه إلى مخاطر تنزيل “محولات” تبدو مجانية أو مغرية.
