كشفت تقارير أمنية حديثة عن برمجية خبيثة جديدة وغير موثقة سابقاً تستهدف أنظمة macOS، وتُعرف باسم Infiniti Stealer. تستغل هذه البرمجية صفحات تحقّق وهمية من Cloudflare لخداع المستخدمين وإصابة أجهزتهم. تم اكتشاف هذه التهديدات السيبرانية عبر حملة منظمة تستهدف بشكل خاص مستخدمي أجهزة آبل.
تعمل البرمجية الخبيثة Infiniti Stealer على خداع المستخدمين عبر تقنيات الهندسة الاجتماعية، وتحديداً عبر ما يعرف بـ “ClickFix”، حيث تقنعهم بتنفيذ أوامر خطيرة مباشرة على أجهزتهم دون الحاجة لاستغلال ثغرات أمنية. هذا يمثل تحدياً للرأي السائد حول مناعة أنظمة macOS ضد البرمجيات الخبيثة.
حملة Infiniti Stealer الخبيثة تستهدف أجهزة macOS
بدأت القصة بتتبع هذه البرمجية تحت اسم “NukeChain” خلال عمليات مراقبة مستمرة للتهديدات السيبرانية. وقبل الكشف العلني عنها، كشف خطأ غير مقصود عن لوحة تحكم مشغل التهديد، مما كشف الاسم الحقيقي للبرمجية وأكد على طبيعة الحملة المنظمة التي تستهدف أنظمة macOS.
ووفقاً لمحللي Malwarebytes، فإن Infiniti Stealer هي أول حملة موثقة تستهدف macOS تجمع بين طريقة التوصيل عبر ClickFix وبرنامج سرقة بيانات Python تم تجميعه باستخدام Nuitka. وهذا يشير إلى تطور في أساليب المهاجمين.
آلية عمل البرمجية الخبيثة
وتبدأ الهجمة بزيارة موقع خبيث، وهو update-check[.]com، والذي يعرض صفحة طبق الأصل من صفحات التحقق من Cloudflare. تطلب هذه الصفحات الزائفة من الزوار فتح تطبيق Terminal ولصق أمر معين، وعند تنفيذه، تبدأ سلسلة الإصابة الكاملة.
ما يجعل هذا الهجوم خطيراً هو اعتماده الكلي على ثقة المستخدم بنماذج التحقق. لا يوجد ملف ضار يتم تنزيله، ولا مرفق تصيد احتيالي، ولا استغلال مباشر. بمجرد تشغيل الأمر، تعمل حمولة البرمجية الخبيثة بصمت في الخلفية دون ترك أي أثر واضح.
ويمكن للبرمجية الخبيثة Infiniti Stealer أن تسبب أضراراً جسيمة. فهي مصممة لسرقة بيانات اعتماد تسجيل الدخول من المتصفحات المبنية على Chromium وFirefox، وجمع إدخالات macOS Keychain، وسرقة محافظ العملات المشفرة، والتقاط لقطات للشاشة، واستخلاص أسرار بصيغة نص عادي من ملفات بيئات المطورين.
مراحل الإصابة الثلاث
بعد أن يقوم الضحية بتشغيل أمر Terminal، تبدأ Infiniti Stealer بثلاث مراحل لإكمال الاختراق. المرحلة الأولى هي سكريبت إسقاط Bash، والذي يشترك في قالب مع برمجيات سرقة بيانات macOS سابقة مثل MacSync. يشير هذا إلى استخدام أداة بناء برمجيات خبيثة مشتركة.
يقوم السكريبت بفك تشفير حمولة مضمنة، ويكتب المرحلة التالية من الثنائي في مجلد /tmp، ويزيل سمة الحجر الصحي (quarantine attribute) من macOS، ثم يشغل الملف بصمت باستخدام nohu. بعد ذلك، يقوم السكريبت بحذف نفسه وإغلاق Terminal باستخدام AppleScript، لضمان عدم ملاحظة الضحية لأي شيء غير طبيعي.
المرحلة الثانية تتضمن ثنائياً من نوع Apple Silicon Mach-O، تم بناؤه باستخدام وضع onefile من Nuitka. على عكس PyInstaller، يقوم Nuitka بتجميع كود Python إلى C وينتج ثنائياً أصلياً، مما يجعل التحليل الثابت أكثر صعوبة لأدوات الأمان.
المرحلة الثالثة، UpdateHelper[.]bin، هي برمجية سرقة بيانات Python 3.11 تم تجميعها أيضاً باستخدام Nuitka. قبل سرقة أي بيانات، تقوم البرمجية بالتحقق مما إذا كانت تعمل داخل بيئات تحليل معروفة مثل any.run، Joe Sandbox، Hybrid Analysis، VMware، أو VirtualBox. كما أنها تضيف تأخيراً عشوائياً في التنفيذ لتجنب أنظمة الكشف الآلية.
إذا كنت تشك في تأثر جهازك، يجب اتخاذ خطوات فورية. وهي تشمل التوقف عن استخدامه للأنشطة الحساسة، وتغيير كلمات المرور من جهاز آخر نظيف، فوراً. بالإضافة إلى ذلك، يجب إلغاء الجلسات النشطة وإبطال أي رموز API أو مفاتيح SSH. ويُنصح بالبحث عن أي ملفات غير عادية في مجلدات /tmp و~/Library/LaunchAgents/، وتشغيل فحص أمني كامل.
يجب التنويه بأن صفحات CAPTCHA الشرعية لن تطلب منك أبداً فتح Terminal وتشغيل أمر. إذا طلبت منك صفحة قمت بزيارتها القيام بذلك، يجب إغلاقها فوراً.