تحديث حصان طروادة على macOS: ينتحل صفة تطبيقات موقعة لنشر نفسه، مما يعرض مستخدمي العملات المشفرة لمخاطر أكثر خفاءً

أفادت BlockBeats أنه في 23 ديسمبر، شارك كبير مسؤولي أمن المعلومات في SlowMist، 23pds، منشورًا يشير فيه إلى أن برنامج MacSync Stealer الضار، النشط على منصة macOS، قد شهد تطورًا ملحوظًا، وقد تم بالفعل سرقة أصول بعض المستخدمين. وذكرت المقالة التي أعاد نشرها أنه تم الانتقال من أساليب الإغراء منخفضة العتبة مثل "السحب إلى الطرفية" و"ClickFix" في المراحل المبكرة، إلى تطبيقات Swift موقعة بالرمز وموثقة من Apple (notarized)، مما زاد بشكل كبير من مستوى التخفي.

اكتشف الباحثون أن العينة تنتشر في شكل صورة قرص باسم zk-call-messenger-installer-3.9.2-lts.dmg، حيث يتم إغراء المستخدمين لتنزيلها عبر التظاهر بأنها تطبيقات مراسلة فورية أو أدوات. وعلى عكس الإصدارات السابقة، لا يتطلب الإصدار الجديد من المستخدم القيام بأي عمليات طرفية، بل يقوم برنامج مساعد مدمج مكتوب بلغة Swift بجلب وتنفيذ سكريبت مشفر من خادم بعيد، ليكتمل بذلك مسار سرقة المعلومات.

وقد تم توقيع هذا البرنامج الضار بالرمز ونجح في الحصول على توثيق Apple، ومعرف فريق المطورين هو GNJLS3UYZ4، ولم يتم إلغاء صلاحية الهاشات ذات الصلة من قبل Apple أثناء التحليل. هذا يعني أنه يتمتع بمستوى أعلى من "المصداقية" ضمن آليات الأمان الافتراضية في macOS، مما يسهل عليه تجاوز حذر المستخدمين. كما اكتشف الباحثون أن حجم ملف DMG كبير بشكل غير معتاد، ويحتوي على ملفات طُعم مثل ملفات PDF مرتبطة بـ LibreOffice، وذلك لتقليل الشكوك أكثر.

وأشار باحثو الأمن إلى أن مثل هذه أحصنة طروادة لسرقة المعلومات غالبًا ما تستهدف بيانات المتصفح، وبيانات اعتماد الحسابات، ومعلومات المحافظ المشفرة. ومع بدء البرمجيات الضارة في استغلال توقيع Apple وآلية التوثيق بشكل منهجي، فإن مستخدمي الأصول المشفرة على بيئة macOS يواجهون مخاطر متزايدة من التصيد وكشف المفاتيح الخاصة.