برز برنامج DigitStealer، وهو برنامج تجسس معلومات متطور يستهدف أنظمة macOS، كتهديد سيبراني متنامٍ في الآونة الأخيرة، مما جذب اهتماماً كبيراً من مجتمع الأمن السيبراني.
ظهر هذا البرنامج الضار لأول مرة في أواخر عام 2025، ويستهدف على وجه التحديد أجهزة Apple M2، مما يميزه عن التهديدات العامة. يعمل بشكل أساسي من خلال جمع بيانات المستخدم الحساسة، بما في ذلك المعلومات من 18 محفظة عملات مشفرة مختلفة، وبيانات المتصفح، ومدخلات سلسلة مفاتيح macOS.
على عكس العديد من برامج سرقة المعلومات الحديثة التي تعمل كجزء من منظومة “البرمجيات الخبيثة كخدمة” (MaaS)، يفتقر DigitStealer إلى لوحة تحكم ويب للمنتسبين، مما يشير بقوة إلى أنه مددار بواسطة مشغل خاص أو فريق صغير وحصري.
DigitStealer: بنية تحتية لتتبع الضعف السيبراني
يعتمد المتجه الأساسي للإصابة على توزيع البرمجيات الخبيثة المتخفية في تطبيقات شرعية، مثل أداة الإنتاجية “DynamicLake”. بمجرد تثبيت المستخدم للتطبيق المخترق، يبدأ البرنامج الضار عملية عدوى متعددة المراحل. إنه يؤسس الثبات على جهاز الضحية من خلال إنشاء “وكيل تشغيل” (Launch Agent)، والذي يضمن تشغيل الكود الخبيث تلقائيًا.
تسمح هذه الإمكانية للوصول الخلفي للمهاجم بالحفاظ على وصول طويل الأمد، حيث يقوم بالاستعلام عن خادم القيادة والتحكم (C2) كل 10 ثوانٍ بحثًا عن حمولات AppleScript أو JavaScript جديدة لتنفيذ وظائف ضارة مختلفة على الجهاز. كشف تحليل خبراء الأمن السيبراني عن بنية تحتية مميزة تفتقر إلى التنوع، مما يشير إلى عملية مركزية.
وسلطت التحقيقات الضوء على أن خوادم القيادة للبرنامج الضار تتجمع ضمن شبكات استضافة محددة، وغالبًا ما تستخدم أنماط تسجيل نطاقات متسقة عبر موفري خدمات مثل Tucows وخوادم أسماء من Njalla. وقد قدم هذا القصور في الأمن التشغيلي مؤشرات قيمة للباحثين لتتبع التهديد.
آليات التخفي والتواصل
يكشف الفحص الدقيق للسلوك التقني لـ DigitStealer عن آلية معقدة مصممة لتجنب الكشف والتحليل. يتواصل البرنامج الضار مع خادم القيادة والتحكم الخاص به عبر أربعة نقاط نهاية API محددة: /api/credentials، /api/grabber، /api/poll، و /api/log، والتي تتعامل مع مهام مثل استخراج بيانات الاعتماد وتحميل الملفات.
لمنع الباحثين الأمنيين من فحص هذه الخوادم بسهولة، يطبق البرنامج الضار نظام تحدي واستجابة تشفير. قبل أن يصدر الخادم أي أوامر، يرسل سلسلة “تحدي” فريدة ومستوى تعقيد إلى العميل المصاب. يجب على البرنامج الضار حل هذا اللغز الحسابي عن طريق تجزئة سلسلة التحدي مع رقم تم إنشاؤه لمطابقة نمط معين.
فقط بعد حل هذا التحدي بنجاح، يمنح الخادم رمز جلسة صالحًا. تضمن هذه الميزة المضادة للتحليل عدم تمكن الماسحات الضوئية الآلية من التفاعل بسهولة مع خادم القيادة. علاوة على ذلك، يرسل البرنامج الضار معرف الجهاز الفريد (UUID) للنظام مجزأً باستخدام MD5 إلى خادم القيادة، مما يخلق بصمة رقمية يمكن للمدافعين مراقبتها وتحليلها بنشاط.