ظهرت حملة برمجيات خبيثة جديدة تستهدف مستخدمي نظام macOS، مع تركيز خطير على سرقة بيانات محافظ العملات المشفرة. تُعرف هذه البرمجيات باسم Nova Stealer، وتستخدم أسلوبًا ذكيًا لخداع الضحايا عن طريق استبدال تطبيقات العملات المشفرة الأصلية بنسخ مزيفة تسرق عبارات استرداد المحفظة.
Nova Stealer الجديد يهاجم مستخدمي macOS بسرقة بيانات العملات المشفرة
قال باحثون أمنيون إن برمجية Nova Stealer الخبيثة تستهدف مستخدمي macOS، وتقوم باستبدال تطبيقات محافظ العملات المشفرة الشرعية بنسخ مزيفة تهدف إلى سرقة عبارات الاسترداد. وقد حدد الباحثون مجموعة من محافظ العملات المشفرة الشهيرة التي تم استهدافها، بما في ذلك Ledger Live و Trezor Suite و Exodus.
تبدأ الحملة عندما تقوم أداة إسقاط غير معروفة بتنزيل وتشغيل برمجة نصية تسمى mdriversinstall.sh من خادم القيادة والتحكم. تقوم هذه البرمجة النصية الأولية بإنشاء دليل مخفي وتثبيت عدة مكونات، بما في ذلك مدير ومُشغل للبرامج النصية.
يؤدي Nova Stealer وظائفه بالكامل عبر استخدام برمجيات نصية مكتوبة بلغة Bash، مع تصميم معياري يسمح له بتنزيل وحدات إضافية من خادم القيادة والتحكم. تسجل البرمجيات الخبيثة الهوية الفريدة للمستخدم في ملف لتتبع الأنظمة المصابة.
عملية التسلل والانتشار
تم تحديد حملة Nova Stealer، والتي تتميز بتصميمها المعياري، من قبل باحثي الأمن في BruceKetta.space. تستخدم البرمجيات الخبيثة برمجة نصية منسقة تسمى mdriversmngr.sh لتنزيل وحدات إضافية من خادم القيادة والتحكم.
تأتي هذه الوحدات مرمزة بتنسيق base64 ويتم تخزينها تحت مسار محدد. تحقق البرمجيات الخبيثة الثبات من خلال إنشاء ملف plist لـ LaunchAgent يسمى application.com.artificialintelligence، مما يضمن تشغيل البرامج النصية تلقائيًا عند بدء تشغيل كل نظام.
إحدى التقنيات المثيرة للاهتمام التي يستخدمها Nova Stealer هي تشغيل البرامج النصية داخل جلسات شاشة منفصلة باستخدام الأمر screen -dmS . هذا الأسلوب يبقي العمليات الخبيثة قيد التشغيل بشكل مستقل في الخلفية، مخفية عن نظر المستخدم.
استبدال التطبيقات وسرقة عبارات الاسترداد
تتضمن أخطر قدرة لـ Nova Stealer استبدال تطبيقات محافظ العملات المشفرة الشرعية بنسخ مزيفة. تتحقق مكون البرمجيات الخبيثة mdriversswaps.sh مما إذا كانت Ledger Live أو Trezor Suite مثبتة على النظام عن طريق التحقق من المسارات في مجلد التطبيقات.
عند اكتشافها، تقوم البرمجة النصية بإزالة التطبيقات الأصلية وحذف إدخالات قاعدة بيانات Launchpad الخاصة بها باستخدام أوامر SQLite. ثم تقوم البرمجيات الخبيثة بتنزيل تطبيقات استبدال خبيثة من نطاقات محددة لاستبدال التطبيقات الأصلية.
تقوم التطبيقات المزيفة للمحفظة باستخدام Swift و WebKit لعرض صفحات تصيد احتيالي تبدو شرعية. عندما يفتح الضحايا ما يعتقدون أنه تطبيق محفظتهم، فإنهم يرون واجهة استعادة تطالبهم بإدخال عبارات الاسترداد الخاصة بهم.
يتضمن كود JavaScript الخبيث التحقق من قوائم كلمات BIP-39 و SLIP-39 لتوفير وظيفة الإكمال التلقائي، مما يجعل الواجهة المزيفة تبدو أصلية. وبينما يكتب المستخدمون كلمات الاسترداد الخاصة بهم، يتم إرسال البيانات إلى نقاط نهاية محددة مع تأخير قصير، مما يسمح للمهاجمين بالتقاط أجزاء من العبارة في الوقت الفعلي.
يقوم Nova Stealer أيضًا بتشغيل وحدات استخراج مخصصة. يبحث مكون mdriversfiles.sh عن ملفات المحفظة الحساسة مثل passphrase.json و seed.seco، ويقوم بسرقتها. ثم يتم تحميل هذه الملفات إلى خادم القيادة والتحكم كل 20 ساعة.
بالإضافة إلى ذلك، يجمع mdriversmetrics.sh معلومات النظام، بما في ذلك التطبيقات المثبتة والعمليات قيد التشغيل، لمساعدة المهاجمين على تحديد الضحايا وتحسين حملاتهم.