تشهد حملة برمجيات خبيثة متقدمة نشاطاً مكثفاً جديدة تستهدف مستخدمي نظام التشغيل macOS، والمعروفة باسم “Odyssey Stealer”. تأتي هذه الموجة من الهجمات الإلكترونية الأخيرة لتلفت انتباه خبراء الأمن بقدرتها على الانتشار السريع وتعزيز قدراتها على التخفي.
تُظهر هذه الحملة، التي تختلف عن سابقاتها، جهوداً منسقة لاختراق أجهزة الكمبيوتر التي تعمل بنظام Apple، حيث تعمل بشكل منهجي على سرقة بيانات المستخدم الحساسة، مثل محافظ العملات المشفرة، وبيانات تسجيل الدخول، والوثائق الشخصية.
موجة جديدة من Odyssey Stealer تستهدف مستخدمي macOS
تنتشر البرمجيات الخبيثة عادةً عبر وسائل خادعة، حيث غالباً ما تتنكر في شكل تحديثات برامج شرعية، أو تطبيقات وهمية، أو أدوات مقرصنة يتم العثور عليها على مواقع ويب مشبوهة. هذه الأساليب الماكرة تجعل من الصعب على المستخدمين العاديين تمييز التهديد.
بمجرد دخولها إلى النظام، تقوم البرمجية الخبيثة بجمع المعلومات الحيوية بهدوء من متصفحات الويب مثل Chrome وSafari، بالإضافة إلى macOS Keychain، وهو مخزن آمن لبيانات الاعتماد. وهذا يشكل تهديداً مباشراً لخصوصية المستخدم وأمان بياناته.
تتراوح الآثار المترتبة على ذلك من الخسائر المالية الفورية بسبب استنزاف حسابات العملات المشفرة، إلى سرقة الهوية طويلة الأمد. ويعتمد المهاجمون على هذه التقنيات المتقدمة لضمان بقاء البرمجيات الخبيثة غير مكتشفة أثناء إرسالها للبيانات القيمة إلى خوادم بعيدة.
لاحظ محللو Moonlock Lab هذا التهديد المتصاعد، مشيرين إلى ارتفاع كبير في النشاط خلال الأيام القليلة الماضية. في البداية، أشارت بيانات القياس عن بعد إلى أن الإصابات كانت تنتشر في المقام الأول عبر الولايات المتحدة وفرنسا وإسبانيا.
ومع ذلك، تغير المشهد بوضوح في غضون أربع وعشرين ساعة فقط، حيث وسعت الحملة نطاق وصولها بشكل كبير. ظهرت طرق العدوى الآن في المملكة المتحدة وألمانيا وإيطاليا وكندا والبرازيل والهند ودول متعددة عبر أفريقيا وآسيا. تبرز لقطتان خرائط، مأخوذتان بفارق يوم واحد فقط، بصمة جغرافية متوسعة بسرعة تؤكد الطبيعة الفيروسية لموجة الهجوم هذه.
تفادي متقدم عبر التعددية الشكلية
أكثر جوانب حملة “Odyssey Stealer” الجديدة إثارة للقلق هي قدرتها على التهرب من الدفاعات الأمنية التقليدية من خلال التشغيل الآلي. تبدو عينات البرمجيات الخبيثة التي تم تحليلها في هذه الموجة وكأنها مولدة تلقائياً، وهي تقنية تنشئ بصمة رقمية فريدة، أو “تجزئة”، لكل نسخة تصيب جهازاً.
على الرغم من أن حجم الملف ووظيفته الخبيثة تظل متطابقة، إلا أن هذه “التعددية الشكلية” تضمن عدم تشابه أي ملفين مع الماسحات الضوئية لمكافحة الفيروسات التي تعتمد على التوقيعات الثابتة. من خلال تغيير بنية الكود باستمرار، فإن البرمجيات الخبيثة تجعل قوائم الحظر القياسية غير فعالة.
لاحظت فرق الأمن العديد من التجزئات الفريدة (SHA256) المرتبطة بهذه الحملة الواحدة، مما يعقد جهود التخفيف. يشير هذا المستوى من التعقيد إلى أن المهاجمين يستخدمون “منشئات” آلية لإنتاج نسخ غير قابلة للكشف بكميات كبيرة، مما يسمح للتهديد بالتسلل عبر الدفاعات التي كانت عادةً ما تكتشف الإصدارات القديمة والثابتة من هذه البرمجية الخبيثة. يجب على المستخدمين البقاء متيقظين ضد هذا الخطر المتطور.