كشفت شركة مايكروسوفت عن حملة تجسسية جديدة تستهدف مستخدمي نظام التشغيل macOS، حيث يستخدم المهاجمون، الذين يُعرفون باسم “Sapphire Sleet”، تحديثاً وهمياً لـ Zoom SDK لخداع الضحايا وتشغيل ملفات خبيثة تجمع كلمات المرور، وأصول العملات المشفرة، والبيانات الشخصية. وتعتمد هذه الحملة بشكل كامل على الهندسة الاجتماعية، مما يستغل ثقة المستخدمين بدلاً من استغلال الثغرات التقنية.
بدأت الحملة بصورة مقنعة، حيث ينتحل المهاجمون صفة مسؤولي توظيف عبر منصات التواصل المهني. يجرون محادثات حول المسار الوظيفي ويبنون الثقة، ثم يحددون موعداً لمقابلة فنية زائفة. خلال هذه المقابلة، يوجهون الضحية لتنزيل ملف مصمم ليبدو وكأنه تحديث هام.
حملة “Sapphire Sleet” تستهدف مستخدمي macOS بتحديث Zoom وهمي
يبدأ الهجوم بتلقي الضحية طلباً عبر البريد الإلكتروني أو الرسائل النصية لتحميل ملف باسم “Zoom SDK Update.scpt”، وهو برنامج نصي مكتوب بلغة AppleScript تم تجميعه. عند فتحه، يعرض البرنامج النصي واجهة تبدو وكأنها شاشة تحديث طبيعية لنظام macOS، بينما تخفي في الواقع أكواداً خبيثة تنتظر التنفيذ.
يُمكن هذا النهج المهاجمين من تجاوز إجراءات الأمان القياسية في macOS، بما في ذلك Gatekeeper، لأن الضحية يقوم بتشغيل الملف يدوياً. هذا يجعل الوعي السلوكي لدى المستخدمين خط الدفاع الأول ضد مثل هذه الهجمات.
تفاصيل سلسلة العدوى
بمجرد أن يفتح المستخدم الملف الخبيث، يبدأ تسلسل سريع من الأوامر. يستدعي البرنامج النصي أداة نظام macOS الشرعية “softwareupdate” بمعامل غير صالح لمحاكاة عملية نظام حقيقية، ثم يستخدم أداة “curl” لجلب حمولة نصية برمجية أخرى عن بعد وتمريرها مباشرة إلى مفسر “osascript”. تكرر هذه العملية عبر خمس مراحل، كل منها يتتبعها معرفات مثل “mac-cur1” إلى “mac-cur5″، مما يسمح لـ “Sapphire Sleet” بإدارة تسليم الحمولة ومراقبة تقدم الحملة.
تعمل المرحلة الأولى “mac-cur1” كمنظم، حيث تجمع تفاصيل النظام، وتسجل الجهاز المصاب على خوادم القيادة والتحكم الخاصة بـ “Sapphire Sleet”، وتقوم بنشر برنامج مراقبة المضيف يسمى “com.apple.cli”. في الوقت نفسه، يقوم برنامج خفي يسمى “services” بتثبيت “daemon” تشغيل مستمر يسمى “com.google.webkit.service.plist”، وهو مصمم ليشبه خدمات Apple و Google الشرعية لتجنب لفت الانتباه.
تتضمن المرحلة الثانية “mac-cur2” جامع بيانات الاعتماد، وهو برنامج يسمى “systemupdate.app”. يعرض البرنامج نافذة تطلب كلمة المرور، وهي مطابقة تماماً لنافذة نظام حقيقية. عندما يدخل المستخدم كلمة المرور، يتحقق منها البرنامج الخبيث مقابل قاعدة بيانات المصادقة المحلية ويرسلها فوراً إلى “Sapphire Sleet” عبر واجهة برمجة تطبيقات Telegram Bot. بعد ذلك، يعرض برنامج زائف آخر يسمى “softwareupdate.app” رسالة “اكتمل تحديث النظام” لخداع الضحية.
للوصول إلى البيانات المحمية، تتلاعب المرحلة الثالثة “mac-cur3” بقاعدة بيانات TCC (Transparency, Consent, and Control) عن طريق توجيه Finder لإعادة تسمية مجلد TCC مؤقتاً. هذا يسمح للبرنامج الخبيث بإدراج أذونات تتيح لـ “osascript” الوصول إلى الملفات الحساسة دون إطلاق مطالبة موافقة. بعد ذلك، يقوم برنامج استخراج بيانات يتكون من 575 سطراً بجمع تسع فئات من البيانات وتحميلها إلى خوادم المهاجمين.
الوقاية والتوصيات
يستهدف “Sapphire Sleet” بشكل أساسي الأفراد والمؤسسات العاملة في قطاعات العملات المشفرة، والمالية، ورأس المال الاستثماري، والبلوك تشين. بمجرد تفعيل البرنامج الخبيث، يقوم بجمع كلمة مرور تسجيل دخول الضحية، وسرقة بيانات جلسات Telegram، وبيانات اعتماد المتصفح، ومفاتيح المحفظة المشفرة من تطبيقات مثل Ledger Live و Exodus، ومفاتيح SSH، وقواعد بيانات مفاتيح macOS.
يوصى المستخدمون والمؤسسات بالتعامل بحذر شديد مع أي طلب غير مرغوب فيه لتشغيل أوامر في Terminal أثناء المقابلات عبر الإنترنت، اعتبار ذلك علامة تحذير واضحة. بالإضافة إلى ذلك، يمكن اتخاذ خطوات دفاعية فعالة مثل حظر ملفات AppleScript المجمعة (.scpt)، وتدقيق ملفات LaunchDaemon plist بحثاً عن إدخالات غير متوقعة، ومراقبة قاعدة بيانات TCC بحثاً عن تغييرات غير مصرح بها.
يساهم الحفاظ على تحديث نظام macOS في تنشيط أحدث توقيعات XProtect وحماية Safe Browsing في Safari، مما يساعد في حجب المكونات المعروفة لهذه الحملة.