استهدفت حملة برمجيات خبيثة جديدة تعرف بـ MacSync Stealer مستخدمي نظام macOS، مستغلة تطبيقات موقعة رقمياً لشق طريقها إلى الأجهزة. يمثل هذا التطور تحولاً هاماً في كيفية انتشار هذه التهديدات، حيث تعمل النسخة المحدثة بصمت في الخلفية دون الحاجة لتفاعل المستخدم التقليدي عبر سطر الأوامر.
تم اكتشاف هذه البرمجية الخبيثة وهي تتنكر في هيئة مثبت شرعي، وتوزع عبر موقع ويب وهمي باسم “zk-call-messenger-installer-3.9.2-lts.dmg”. بمجرد تثبيتها، تقوم البرمجية بتحميل وتشغيل سكربت مخفي يقوم بسرقة المعلومات الحساسة من جهاز الضحية.
MacSync Stealer: تقنيات حديثة لتجاوز الدفاعات
يأتي الملف الضار هذه المرة على شكل تطبيق مكتوب بلغة Swift، وموقع بشهادة مطورين من Apple تحت معرف “GNJLS3UYZ4”. هذه الشهادة تسمح لتطبيق MacSync Stealer بتجاوز التحذيرات الأمنية الأولية التي يعرضها نظام macOS عادةً للبرامج غير الموثوق بها، مما يسهل تثبيته دون إثارة الشكوك.
وفقاً للمعلومات الأولية، لم تكن Apple قد ألغت هذه الشهادة عند اكتشاف البرمجية، مما سمح لها بالعمل بحرية. يتسم ملف القرص الخاص بالبرمجية بحجم كبير نسبياً (25.5 ميجابايت)، ويعود ذلك إلى احتوائه على ملفات PDF وهمية متعلقة ببرنامج LibreOffice، بهدف إضفاء مزيد من الشرعية الظاهرية عليه.
عند فحص الملف عبر منصة VirusTotal، اكتشفت بعض محركات مكافحة الفيروسات أنه يصنف ضمن عائلات برمجيات التنزيل العامة المرتبطة بالعملات أو عائلة Ooiid.
كشف محللو التهديدات في Jamf عن هذه البرمجية الخبيثة أثناء مراجعتهم لأنظمة الكشف لديهم بحثاً عن أنشطة غير عادية. لاحظوا أن سلوك البرمجية الجديد يختلف عن الأنماط المعروفة في حملات MacSync السابقة، والتي كانت تعتمد بشكل أساسي على تقنيات السحب والإفلات إلى سطر الأوامر أو استخدام أدوات مساعدة.
هذا النهج الجديد يلغي الحاجة إلى تفاعل المستخدم مع Terminal، مما يجعل من الصعب على الضحايا اكتشاف تعرضهم للهجوم.
بعد التأكد من وجود التهديد، قامت Jamf Threat Labs بإبلاغ Apple بمعرف المطور الضار، وتم بالفعل إلغاء الشهادة المعنية.
آلية التنفيذ وتسليم الحمولة
تستخدم البرمجية خبيثة أداة مساعدة مبنية بلغة Swift باسم “runtimectl” لتنفيذ كامل عملية الإصابة. عند بدء تشغيل هذه الأداة، تقوم بالتحقق من اتصال الجهاز بالإنترنت عبر وظيفة `checkInternet()`.
في حال وجود اتصال، فإنها تنتقل لتحميل حمولتها الثانية من عنوان URL المحدد باستخدام أمر `curl`. يتم حفظ السكربت في المسار `/tmp/runner`، ثم يتم التأكد من أنه سكربت shell صالح عبر التحقق من نوعه باستخدام الأمر `/usr/bin/file –mime-type -b` للتأكد من مطابقته لـ `text/x-shellscript`.
قبل تشغيل الحمولة، تقوم البرمجية الخبيثة بإزالة علامة الحماية `com.apple.quarantine` باستخدام الدالة `removeQuarantine(at:)`، وتعيين أذونات الملف لتكون قابلة للتنفيذ (750).
كما تقوم بإنشاء ملفات سجل في `~/Library/Logs/UserSyncWorker.log` وملفات تتبع في `~/Library/Application Support/UserSyncWorker/`، وذلك لتسجيل النشاط ومنع البرمجية من العمل بشكل متكرر. تضمن آلية تحديد المعدل أن البرمجية تعمل مرة واحدة فقط كل 3600 ثانية.
بعد انتهاء تنفيذ السكربت، يتم حذف الملف `/tmp/runner` لإزالة أي آثار على النظام. أخيراً، تتصل البرمجية بعنوان `focusgroovy[.]com` لتحميل حمولات إضافية والتواصل مع خادم القيادة والتحكم الخاص بها.