كشف باحثون في الأمن السيبراني عن نسخة جديدة من برمجية سرقة المعلومات على نظام macOS تُعرف باسم “MacSync”، يتم توزيعها عبر تطبيق مكتوب بلغة Swift وموقّع رقمياً وموثّق من آبل، ما يسمح له بتجاوز أنظمة الحماية المدمجة مثل Gatekeeper وXProtect. التطبيق المزيف يتخفى في صورة مثبت لبرنامج مراسلة، ويُوزع داخل ملف DMG يحمل اسم “zk-call-messenger-installer-3.9.2-lts.dmg” مستضاف على موقع مشبوه. ورغم التوقيع الرقمي، يطلب المثبت من المستخدمين فتحه عبر النقر بالزر الأيمن، وهي حيلة شائعة لتجاوز التحذيرات الأمنية. آبل سارعت لاحقاً إلى إلغاء شهادة التوقيع الخاصة به.
تقنيات إسقاط وتحميل متطورة
النسخة الجديدة تعتمد على “Dropper” مكتوب بـ Swift يقوم بعدة عمليات تحقق قبل تنزيل وتنفيذ الشيفرة الخبيثة، منها التأكد من الاتصال بالإنترنت، فرض فترة زمنية لا تقل عن 3600 ثانية بين عمليات التنفيذ لتقليل الاكتشاف، وإزالة سمات العزل من الملفات. كما أظهرت الأوامر المستخدمة لتحميل الحمولة تغييرات واضحة مقارنة بالإصدارات السابقة، حيث تم تعديل خيارات أمر “curl” وإضافة متغيرات ديناميكية، في محاولة لزيادة الموثوقية أو التهرب من أنظمة الكشف.
تضخيم حجم الملف وإخفاء الحمولة
من بين أساليب التمويه التي رصدها الباحثون، قيام المهاجمين بتضخيم حجم ملف DMG ليصل إلى 25.5 ميغابايت عبر تضمين مستندات PDF غير مرتبطة، ما يجعل الملف يبدو أكثر شرعية. الحمولة المشفرة بـ Base64، بعد تحليلها، تبيّن أنها نسخة محدثة من برمجية “Mac.c” التي ظهرت لأول مرة في أبريل 2025، لكنها أعيدت تسميتها إلى “MacSync”. هذه النسخة مزودة بوكيل مبني بلغة Go يتيح للمهاجمين التحكم عن بعد في الأجهزة المصابة، إلى جانب سرقة البيانات.
اتجاهات أوسع في مشهد برمجيات macOS الخبيثة
التقرير أشار أيضاً إلى أن برمجيات خبيثة أخرى مثل “Odyssey” و”DigitStealer” استُخدمت في حملات مشابهة، بعضها عبر ملفات DMG موقّعة رقمياً تحاكي تطبيقات شهيرة مثل Google Meet، وأخرى عبر صور أقراص غير موقعة. هذا التحول يعكس اتجاهاً متزايداً بين المهاجمين نحو استغلال التطبيقات الموقّعة والموثّقة لتبدو وكأنها شرعية، مما يزيد من صعوبة اكتشافها من قبل المستخدمين والأنظمة الأمنية. شركات مثل Jamf وMacPaw حذرت من أن هذه الأساليب تمثل تصعيداً خطيراً في تكتيكات المهاجمين، وتؤكد الحاجة إلى تعزيز أدوات الكشف والوعي الأمني لدى مستخدمي macOS.
