ظهر تهديد برمجيات خبيثة جديد يستهدف مستخدمي نظام التشغيل macOS على منتديات الجرائم الإلكترونية، حيث يقوم الجهات الفاعلة بالترويج لأداة متطورة لسرقة المعلومات تُعرف باسم MioLab MacOS.
هذه الأداة، المصممة لتكون مقيمة على النظام، تأتي مزودة بلوحة تحكم عبر الويب وإعدادات قابلة للتخصيص، مما يجعلها خياراً جذاباً لمجرمي الإنترنت الذين يسعون لاختراق أجهزة Apple.
تُسوق هذه البرمجية الخبيثة كخدمة اشتراك، مما يسلط الضوء على الاتجاه المتزايد لعمليات “البرمجيات الخبيثة كخدمة” (MaaS) التي تقلل من حاجز الدخول للمهاجمين.
MioLab MacOS: تهديد جديد يستهدف بيانات مستخدمي macOS
وفقاً لتقرير حديث، تدعي الجهة المسوقة أن MioLab MacOS قادرة على استخلاص معلومات حساسة من المتصفحات، مديري كلمات المرور، محافظ العملات المشفرة، وحتى نظام Keychain الخاص بـ Apple.
مع دعم لأكثر من 200 ملحق لمحافظ العملات المشفرة، بما في ذلك MetaMask و Trust Wallet، تشكل هذه البرمجية الخبيثة خطراً جدياً على حاملي الأصول الرقمية.
إضافة إلى ذلك، تستهدف الأداة أكثر من 15 تطبيقاً لإدارة كلمات المرور، مثل LastPass، مما يعرض بيانات الاعتماد المخزنة لخطر كبير.
قدرات استخلاص البيانات
تتضمن البرمجية الخبيثة أيضاً ميزة “FileGrabber” مع قواعد تصفية مخصصة، ويمكنها جمع ملفات ذات امتدادات محددة مثل .dat و .key و .keys من أكثر من 50 تطبيقاً للمحافظ الباردة.
حدد باحثون في KrakenLabs هذا التهديد أثناء تداوله في المنتديات السرية، حيث يقوم المطور بالترويج بنشاط لنموذج الاشتراك.
هيكل التسعير يشمل رسوم اشتراك شهري بقيمة 750 دولاراً أمريكياً، بالإضافة إلى دفعة واحدة إضافية بقيمة 500 دولار أمريكي لوحدات متخصصة لمحفظتي Ledger و Trezor.
تقدم الجهة المسوقة أيضاً صفقات تعتمد على نسبة مئوية لمجرمي الإنترنت ذوي الحجم الكبير، مما يشير إلى نهج ذي طابع تجاري لتوزيع البرمجيات الخبيثة.
تمتد قدرات جمع البيانات لهذه البرمجية الخبيثة إلى ما هو أبعد من المعلومات المالية. يمكنها سرقة ملفات تعريف الارتباط للمتصفح، وكلمات المرور، وسجل التصفح، وبيانات الملء التلقائي من متصفحات Chromium و Gecko.
تقوم MioLab MacOS أيضاً بالتقاط رموز المصادقة الخاصة بجوجل، مما يتيح للمهاجمين تجاوز الإجراءات الأمنية واكتساب وصول دائم إلى حسابات الضحايا.
علاوة على ذلك، تقوم بإجراء مسح كامل للجهاز لجمع معلومات النظام، ويمكنها استخلاص المحتوى من تطبيق Apple Notes، مما قد يكشف عن معلومات شخصية وتجارية.
البنية التحتية للقيادة والتحكم
تستخدم MioLab MacOS التكامل مع بوت تليجرام لإرسال البيانات المسروقة، مما يسمح للمهاجمين بتلقي الإشعارات وإدارة المعلومات المخترقة عبر منصة رسائل مشفرة.
تتميز البرمجية الخبيثة بلوحة ويب مركزية توفر للجهات الفاعلة أدوات لإدارة السجلات والمراقبة في الوقت الفعلي للأجهزة المخترقة.
تمكّن هذه البنية التحتية المشغلين من تنظيم بيانات الاعتماد المسروقة والبيانات المالية والمعلومات الشخصية بكفاءة.
يخلق الجمع بين Exfiltration عبر تليجرام والإدارة المستندة إلى الويب نظام قيادة وتحكم موثوق يساعد المهاجمين في الحفاظ على أمنهم التشغيلي أثناء إدارة العديد من الضحايا في وقت واحد.