تتوسع حملات سرقة المعلومات، التي كانت تستهدف في معظمها نظام ويندوز، لتمتد بقوة نحو نظام macOS، مستغلة لغات برمجة مثل بايثون ومنصات موثوقة للوصول إلى ضحايا جدد. وتظهر الهجمات الأخيرة تحولاً واضحاً، حيث يقوم المهاجمون باستغلال الإعلانات عبر الإنترنت، والتطبيقات المزيفة، والأدوات المألوفة لسرقة بيانات التعريف، وملفات تعريف الارتباط للجلسات، وبيانات العملات المشفرة من مستخدمي أجهزة ماك.
تُعد أدوات سرقة المعلومات متعددة المنصات التي تعتمد على بايثون، بالإضافة إلى عائلات برمجيات خبيثة خاصة بنظام macOS مثل DigitStealer، MacSync، و Atomic macOS Stealer (AMOS)، في قلب هذا الارتفاع، مما يحول تجارب التصفح اليومية وتثبيت البرامج إلى أحداث عالية المخاطر للمستهلكين والشركات على حد سواء.
تزايد حملات سرقة المعلومات على macOS
تعتمد هذه الحملات بشكل كبير على الهندسة الاجتماعية لتجاوز ثقة المستخدمين. فالحملات الإعلانية الخبيثة والروابط المسمومة بمحركات البحث تقود المستخدمين إلى مثبتات وهمية أو أدوات “إصلاح النظام” التي تبدو شرعية، وغالباً ما تكون مغلفة بصيغ DMG أو نصوص برمجية تبدو غير ضارة.
بمجرد تشغيلها، تتحرك برمجيات السرقة بسرعة لجمع كلمات المرور المخزنة في المتصفحات، وسجلات محافظ المفاتيح، ومحافظ العملات المشفرة، وأسرار المطورين. وهذا يمثل تهديداً متنامياً للأمن الرقمي.
بالنسبة للمؤسسات، فإن سرقة بيانات اعتماد السحابة والوصول إلى الشيفرة المصدرية يمكن أن يفتح الباب أمام اختراقات أعمق، بما في ذلك هجمات سلسلة التوريد وهجمات الفدية.
لاحظ باحثو مايكروسوفت أن موجات سرقة المعلومات الحديثة تدمج تقنيات أصلية لنظام macOS مع أدوات بايثون مرنة للعمل عبر بيئات متعددة. وعلى نظام macOS، تعتمد البرمجيات الخبيثة على الأدوات المدمجة وأتمتة AppleScript للحفاظ على وضع منخفض، بينما يتم توزيع برامج سرقة المعلومات التي تعتمد على بايثون على نطاق واسع عبر رسائل البريد الإلكتروني التصيدية والمرفقات الخبيثة في شبكات الشركات.
في الوقت نفسه، يقوم المهاجمون بتسليح منصات موثوقة مثل واتساب وأدوات PDF المزيفة لدفع حمولات برامج السرقة، مما يجعل حركة المرور الضارة أصعب في التمييز عن النشاط العادي.
آلية الإصابة: من الإغراء إلى سرقة البيانات الصامتة
تبدأ سلسلة الإصابة عادةً بإغراء يبدو روتينياً للضحية. في حملات macOS، يوجه المستخدمون إلى صفحات تنزيل مقلدة لأدوات مثل DynamicLake أو أدوات ذكاء اصطناعي وهمية، أو يتم خداعهم لنسخ أوامر Terminal ولصقها التي يفترض أنها تصلح مشاكل المتصفح أو النظام.
عندما يقوم المستخدم بتشغيل المثبت أو الأمر، يستخدم البرنامج الضار مكونات أصلية مثل curl، و base64 decoding، و gunzip لجلب وفك حزم حمولات إضافية مباشرة في الذاكرة، متجنباً بذلك ترك آثار ملفات واضحة.
تقوم النصوص البرمجية التي يتم تنفيذها عبر osascript أو JavaScript for Automation بعد ذلك بتعداد مكونات النظام، والاستعلام عن المتصفحات وسجلات المفاتيح، وتجميع البيانات المسروقة في أرشيفات مؤقتة.
أخيراً، يقوم برنامج سرقة المعلومات بتسريب هذه الأرشيفات إلى مجالات يسيطر عليها المهاجمون أو خوادم القيادة والتحكم باستخدام طلبات HTTPS POST، وغالباً ما يتم ذلك عبر بنية تحتية مسجلة حديثاً أو ذات سمعة منخفضة، مما يكمل الاختراق مع وجود علامات مرئية قليلة للمستخدم.