تحذير أمني: برمجية خبيثة جديدة تستهدف مستخدمي macOS عبر موقع احتيالي
يحذر خبراء الأمن السيبراني من برمجية خبيثة جديدة تدعى SHub Stealer، والتي تنتشر هذه الأيام عبر موقع ويب مزيف يدعي أنه يقدم أداة شهيرة لصيانة أجهزة ماك، وهو CleanMyMac. يستهدف هذا الهجوم مستخدمي أنظمة macOS، حيث يسعى لسرقة بيانات حساسة تتضمن كلمات المرور، وبيانات التصفح، ومحافظ العملات الرقمية.
يُعرف المحتالون بتخصصهم في استغلال البرامج والأدوات المعروفة لخداع المستخدمين. في هذه الحالة، تم إنشاء موقع ويب يبدو مطابقاً تماماً للموقع الرسمي لـ CleanMyMac، مع استضافة على نطاق مشابه لتمويه هويتهم. هذا التكتيك يهدف إلى بناء الثقة لدى المستخدمين قبل أن يقعوا فريسة للبرمجية الخبيثة.
SHub Stealer: أداة تجسس متطورة
بمجرد تثبيتها على النظام، تبدأ برمجية SHub Stealer في جمع مجموعة واسعة من المعلومات. تشمل هذه المعلومات كلمات المرور المخزنة في المتصفحات، وسجل التصفح، ومفاتيح الوصول الخاصة بخدمة Apple Keychain، إضافة إلى ملفات محافظ العملات الرقمية، وبيانات جلسات تطبيق Telegram. هذا النطاق الواسع لجمع البيانات يجعلها تهديداً خطيراً للخصوصية والأمن المالي للمستخدمين.
تبدأ عملية الإصابة بطريقة مبتكرة تعتمد على خداع المستخدم لتشغيل أوامر تبدو شرعية. تتضمن هذه الأوامر نصوصاً مخفية بلغة Base64، والتي عند فك تشفيرها، تقوم بتنزيل وتنفيذ سكربت خبيث من خوادم المهاجمين. ولأن المستخدم يقوم بتشغيل هذه الأوامر بنفسه، فإن آليات الحماية المدمجة في macOS مثل Gatekeeper و XProtect قد لا تكشف التهديد بكفاءة.
آلية العمل ومقاومة الكشف
قام باحثون في مجال الأمن السيبراني بتحليل شامل لسلسلة الهجوم, وأفادوا أن SHub Stealer تنتمي إلى عائلة متنامية من برمجيات سرقة المعلومات لأنظمة ماك، والتي تشمل برامج أخرى مثل MacSync Stealer و Odyssey Stealer. ومع ذلك، تتميز SHub Stealer ببعض الميزات المتقدمة التي تجعلها أكثر خطورة.
تتضمن هذه الميزات المتقدمة معرفات خاصة لكل ضحية، وقدرات لتحديد الموقع الجغرافي، والأهم من ذلك، قدرتها على زرع أبواب خلفية في تطبيقات محافظ العملات الرقمية المثبتة. وهذا يعني أنها لا تكتفي بسرقة البيانات الحالية، بل قد تفتح الباب أمام اختراقات مستقبلية.
تتضمن آلية الكشف المسبق للبرمجية التحقق من لغة لوحة المفاتيح المثبتة على النظام. فإذا كانت اللغة المستخدمة هي اللغة الروسية، فإن البرمجية تتوقف عن العمل وتشير إلى المهاجم بأن النظام مستبعد. هذا التوجه المعتاد في الشبكات الإجرامية الناطقة بالروسية يهدف إلى تجنب الملاحقة القانونية في بلدان رابطة الدول المستقلة.
خطر استهداف محافظ العملات الرقمية
ما يميز SHub Stealer هو قدرتها الفريدة على اختراق تطبيقات محافظ العملات الرقمية. إذا اكتشفت البرمجية وجود تطبيقات معينة لمعاملات العملات المشفرة على الجهاز المخترق، فإنها تستبدل بشكل خفي ملفات البرنامج الأساسية بنسخ معدلة. هذه النسخ المعدلة تبدو وتعمل بشكل طبيعي، لكنها في الواقع تقوم بتسريب بيانات الاعتماد للمهاجمين في الخلفية.
التطبيقات الخمسة المستهدفة بشكل خاص هي Exodus، و Atomic Wallet، و Ledger Wallet، و Ledger Live، و Trezor Suite. هذه التطبيقات مبنية على إطار عمل Electron، حيث يتم تخزين سلوك التطبيق في ملف يسمى app.asar. تقوم SHub Stealer باستبدال هذا الملف بنسخة معدلة، ثم تزيل التوقيع الأمني الأصلي وتعيد توقيع التطبيق لكي تقبله أنظمة macOS.
في حالة Exodus و Atomic Wallet، يتم تهيئة التطبيقات المعدلة لإرسال كلمة مرور المستخدم وعبارة الاسترداد (seed phrase) بشكل صامت في كل مرة يتم فيها فتح المحفظة. أما بالنسبة لتطبيقات Ledger، فإنها تقوم بتعطيل التحقق من التشفير TLS وتعرض واجهة استرداد وهمية لجمع عبارة الاسترداد. في حين أن Trezor Suite يعرض تحديثاً أمنياً مزيفاً يطلب عبارة الاسترداد.
بعد اختراق هذه التطبيقات، تقوم SHub Stealer بتثبيت مهمة خلفية تعمل بشكل مستمر، متظاهرة بأنها تحديث للنظام من Google، وذلك لتنفيذ الأوامر عن بعد. لذلك، ينصح بشدة المستخدمون الذين قاموا بتشغيل الأوامر من الموقع الاحتيالي باتخاذ إجراءات فورية لتأمين أجهزتهم وحماية أصولهم الرقمية.