ظهر برنامج ضار جديد ومتطور لأنظمة macOS يُدعى MacSync، ليشكّل تهديدًا خطيرًا لمستخدمي العملات المشفرة عبر تكتيكات الهندسة الاجتماعية الخادعة.
يعمل هذا البرنامج، الذي يُصنف كبرنامج سرقة معلومات، كخدمة برمجية خبيثة بأسعار معقولة (Malware-as-a-Service)، ويهدف إلى جمع البيانات الحساسة من أجهزة macOS بإقناع الضحايا بلصق أمر واحد في تطبيق Terminal الخاص بهم.
اكتشف باحثون في الأمن السيبراني MacSync أثناء التحقيق في بنية تحتية للتصيد الاحتيالي تحاكي صفحات تسجيل الدخول الخاصة بمايكروسوفت.
يقوم الهجوم بإعادة توجيه المستخدمين إلى صفحة وهمية لمثبّت تخزين سحابي، تعرض تعليمات خطوة بخطوة لإكمال التثبيت باستخدام Terminal.
يمثّل هذا البرنامج تطوراً لبرنامج Mac.c stealer السابق، واكتسب شعبية بين مجرمي الإنترنت بسبب سعره المنخفض وتصميمه المعياري الذي يركز على سرقة بيانات العملات المشفرة.
تستغل عملية الإصابة ثقة المستخدم في تدفقات تثبيت برامج macOS القياسية. يواجه الضحايا صفحة هبوط مقنعة مستوحاة من البرامج الشرعية، مع لغة مطمئنة وشارة “ناشر موثوق”.
يقوم أمر بسيط من سطر واحد، يتم نسخه إلى الحافظة، بتشغيل عملية الاختراق بأكملها، متجاوزًا تمامًا إجراءات أمان macOS مثل Gatekeeper وفحوصات التوثيق البرمجي التي تعيق حزم التطبيقات التقليدية.
حدد محللو CloudSEK وحللوا سلسلة الإصابة الكاملة، واكتشفوا آلية الهجوم متعددة المراحل لـ MacSync التي تعمل بالكامل عبر البرامج النصية بدلاً من الملفات التنفيذية المجمعة.
يقوم البرنامج الخبيث أولاً بتنزيل مُحمّل Zsh يعمل كخادم (daemonized Zsh loader) ينفصل عن جلسة Terminal وينفذ صامتًا في الخلفية. يقوم هذا المُحمّل بعد ذلك بجلب وتشغيل حمولة AppleScript عن بُعد تحتوي على وظيفة سرقة البيانات الأساسية.
آلية الإصابة واستراتيجية جمع البيانات
يركز الهدف الأساسي لـ MacSync على استخراج البيانات المتعلقة بالعملات المشفرة من خلال نهج عالي الاستهداف.
بمجرد التنفيذ، يعرض البرنامج الخبيث مربعات حوار نظام وهمية بشكل متكرر تطالب بكلمة مرور تسجيل الدخول الخاصة بالضحية تحت ذريعة التحقق من النظام.
تثبت هذه التكتيكات المتكررة للهندسة الاجتماعية نجاحها بشكل ملحوظ، لأنها تضعف مقاومة المستخدم بمرور الوقت.
بعد الحصول على كلمة المرور، يقوم MacSync بجمع ملفات تعريف المتصفح بشكل منهجي من Chrome و Brave و Edge و Opera وغيرها من المتصفحات المستندة إلى Chromium، واستخراج كلمات المرور المخزنة وملفات تعريف الارتباط للمصادقة.
يستهدف برنامج سرقة المعلومات بشكل خاص عشرات من ملحقات متصفح محافظ العملات المشفرة، من خلال تحديد مواقع تثبيتها ونسخ عبارات استعادة المحفظة والمفاتيح الخاصة.
تحظى تطبيقات المحافظ المكتبية مثل Exodus و Electrum و Bitcoin Core بنفس المعاملة.
يستولي البرنامج الخبيث أيضًا على مفاتيح SSH وبيانات اعتماد AWS وقواعد بيانات Keychain والملاحظات التي تحتوي على معلومات حساسة.
للحفاظ على الوصول طويل الأمد، يقوم MacSync بشكل مشروط بإدخال برامج المحافظ المادية مثل Ledger و Trezor عندما يتم اكتشافها على الأنظمة المصابة.
يقوم البرنامج باستبدال المكونات الأساسية للتطبيق ويستبدل البرامج الشرعية بنسخ خبيثة تعرض برامج إرشادية خادعة تلتقط رموز PIN وعبارات الاستعادة بعد أسابيع أو أشهر من الإصابة الأولية.
يستخدم البنية التحتية الداعمة ثمانية نطاقات مدمرة (C2 domains) على الأقل، تتناوب بناءً على أنماط تسمية متسقة، مع صفحات احتيالية متعددة تشير إلى تطور الحملات النشطة.
يشير هذا الاستخدام المتكرر للبنية التحتية والتصميم المعياري إلى أن MacSync يمثل عملية مستمرة وقابلة للتطوير تستهدف مجتمع العملات المشفرة على macOS من خلال تكتيكات الهندسة الاجتماعية المخادعة.