كشف تقرير أمني حديث عن تطور كبير في مشهد سرقة المعلومات، حيث سُلط الضوء على برمجية خبيثة متطورة تستهدف أنظمة macOS، تُعرف باسم “MioLab”. تُعد هذه البرمجية واحدة من أكثر منصات “البرمجيات الخبيثة كخدمة” (MaaS) تقدماً، مما يشير إلى تحول في التهديدات الإلكترونية وأن أنظمة آبل لم تعد بمنأى عن الهجمات.
يأتي هذا التطور في وقت تتزايد فيه حصة آبل السوقية بين المطورين التنفيذيين والمستثمرين في العملات المشفرة. وبحسب التقرير، فإن هذه الزيادة تجعل أجهزة ماك هدفاً ذا قيمة عالية للمهاجمين، الذين باتوا ينظرون إليها كسطوح هجوم مربحة.
برمجية MioLab الخبيثة: تهديد متزايد لأنظمة macOS
تم الإعلان عن برمجية MioLab، المعروفة أيضاً باسم Nova، في منتديات إلكترونية روسية. تتميز البرمجية بلوحة تحكم ويب سهلة الاستخدام وحمولة C خفيفة تبلغ حوالي 100 كيلوبايت، مما يساعدها على تجنب الكشف بواسطة برامج مكافحة الفيروسات التقليدية.
تدعم MioLab كلاً من معماريات Intel x86-64 و Apple Silicon ARM64، وتعمل على إصدارات macOS المختلفة، بدءاً من Sierra وصولاً إلى Tahoe. وتشمل قدراتها سرقة بيانات الاعتماد من المتصفحات، وسحب العملات المشفرة من المحافظ الإلكترونية، وجمع كلمات المرور من مديري كلمات المرور، وجمع الملفات.
قدرات متقدمة لسرقة الأصول الرقمية
تتضمن البرمجية وحدة إضافية مدفوعة تستهدف محافظ الأجهزة مثل Ledger و Trezor. وبحسب التقرير، فإن هذه الوحدة قادرة على سرقة عبارات الاسترداد المكونة من 24 كلمة (BIP39) الخاصة بضحاياها، مما يمثل خطراً جسيماً على الأصول الرقمية.
يشير المحللون إلى أن MioLab تتطور بسرعة غير معتادة بالنسبة لبرمجيات سرقة المعلومات. وقد أكدت مراجعات سجلات التغييرات التي تعود إلى فبراير 2026 ترقيات حاسمة، بما في ذلك وحدة استخراج محافظ الأجهزة المعاد بناؤها، وفك تشفير ملاحظات Apple على الجهاز، وأداة قادرة على جمع ملفات تعريف الارتباط الخاصة بـ Safari، ونظام واجهة برمجة تطبيقات Team API كامل.
تسمح واجهة برمجة تطبيقات Team API للمجرمين بإنشاء حمولات بشكل برمجي وتنزيل السجلات المسروقة دون الحاجة لتسجيل الدخول إلى لوحة التحكم. بالإضافة إلى ذلك، تتكامل المنصة مع روبوتات Telegram لتلقي إشعارات آنية بالضحايا، وتستهدف منتسبين منظمين للجريمة الإلكترونية معروفين باسم “traffers”.
سلسلة إصابة NodeStealer: الهندسة الاجتماعية عبر الطرفية
من أبرز الإضافات التي رصدت في MioLab هي سلسلة الإصابة المسماة “ClickFix”. تستخدم هذه التقنية لخداع الضحايا وتشجيعهم على تشغيل أوامر خبيثة في نافذة Terminal الخاصة بأنظمة macOS لديهم.
توفر لوحة تحكم MioLab أداة “بنقرة واحدة” تتلقى بيانات اعتماد الخادم من المشغل، وتقوم بإنشاء حمولة Terminal جاهزة للنشر. يمكن نشر هذه الحمولة عبر صفحات CAPTCHA وهمية أو بوابات تطوير مزيفة.
مؤخراً، اكتشف الباحثون حملة إعلانية خبيثة تعمل على توزيع MioLab من خلال استنساخ مقنع لموقع وثائق Claude Code، وهي أداة سطر أوامر شرعية من Anthropic. تم تصميم الحملة بعناية لتستهدف المطورين الذين لديهم خبرة في تشغيل أوامر Terminal.
قدم الموقع المستنسخ تعليمات تثبيت شرعية تماماً لزوار أنظمة Windows، بينما كان يقدم حمولة من نوع ClickFix لمستخدمي macOS. تعتمد المرحلة الأولى على عنوان URL تم إخفاؤه باستخدام Base64، والذي يقوم، عند فك تشفيره وتنفيذه، بتشغيل أداة curl لجلب حمولة Mach-O، ووضعها في المسار /tmp، وتنفيذ أمر xattr -c لإزالة سمة الحجر الصحي التي تفرضها آبل وتجاوز Gatekeeper.
آلية سرقة البيانات وإجراءات الحماية
بعد تجاوز Gatekeeper، تعمل البرمجية الخبيثة على إغلاق نوافذ Terminal المفتوحة وعرض مربع حوار مزيف لكلمة مرور النظام (System Preferences) باستخدام AppleScript، مما يخدع المستخدمين لإدخال بيانات اعتماد تسجيل الدخول الخاصة بهم. يتم التحقق من كلمة المرور الملتقطة مقابل دليل النظام المحلي باستخدام أداة dscl.
بمجرد التأكد، تبدأ MioLab في جمع ملفات تعريف الارتباط الخاصة بالمتصفح، وكلمات المرور، وملفات محافظ العملات المشفرة، وملاحظات Apple، وبيانات جلسة Telegram، والمستندات من مجلدات سطح المكتب والتنزيلات. يتم بعد ذلك ضغط كل شيء في أرشيف ZIP وتحميله إلى خادم القيادة والتحكم الخاص بالمهاجم.
لمواجهة تهديد MioLab، يوصي الخبراء بتدريب المستخدمين على التشكيك في أي طلبات غير متوقعة لكلمات المرور من التطبيقات التي تم تنزيلها حديثاً. يجب على فرق الأمن حظر أو مراقبة أدوات النظام الحساسة، مثل dscl و osascript و system_profiler، عند استدعائها بواسطة تطبيقات غير موقّعة.
كما ينبغي تدقيق الوصول إلى مجلدات ملفات تعريف المتصفح وملف Keychain الخاص بـ macOSlogin.keychain-db بدقة. ويجب حظر النطاقات الخبيثة المعروفة، مثل socifiapp[.]com، والإبلاغ عن أي طلبات curl POST مشبوهة إلى واجهات برمجة التطبيقات الخارجية والتحقيق فيها.