Breaking News
القائمة
Advertisement

برمجية CrashStealer الخبيثة تتجاوز حماية Gatekeeper لسرقة العملات المشفرة وكلمات المرور في أجهزة Mac

برمجية CrashStealer الخبيثة تتجاوز حماية Gatekeeper لسرقة العملات المشفرة وكلمات المرور في أجهزة Mac
صورة ذكاء اصطناعي

يواجه مستخدمو أجهزة Mac تهديداً متطوراً يُعرف باسم برمجية CrashStealer الخبيثة، والتي تتجاوز دفاعات الأمان المدمجة في النظام لسرقة محافظ العملات المشفرة وبيانات مديري كلمات المرور. وتنتحل هذه البرمجية، التي اكتشفتها مختبرات Jamf Threat Labs، صفة أداة نظام أصلية لخداع الضحايا ودفعهم لتسليم بياناتهم الأكثر حساسية.

انتشرت البرمجية في البداية متخفية داخل تطبيق مزيف يُدعى Werkbit. والمثير للقلق أن هذا التطبيق تمكن من اختراق نظام التوثيق الخاص بشركة Apple، والمصمم لفحص البرامج بحثاً عن أي مكونات ضارة قبل توزيعها. وبفضل هذا التوثيق، سمح نظام Gatekeeper بتشغيل التطبيق دون إطلاق تحذيرات الأمان المعتادة. وبمجرد التثبيت، يُسقط الفيروس تطبيق الإبلاغ عن الأعطال (CrashReporter.app) مزيفاً يحاكي إطار عمل الإبلاغ عن الأعطال الرسمي من شركة Apple.

يُعد نطاق سرقة البيانات واسعاً للغاية؛ إذ تستهدف برمجية CrashStealer أكثر من 80 إضافة لمحافظ العملات المشفرة و14 تطبيقاً لإدارة كلمات المرور، بما في ذلك تطبيقات 1Password وLastPass وDashlane. وتقوم البرمجية بمسح مجلدي المستندات (Documents) والتنزيلات (Downloads) بحثاً عن الملفات القيمة، وتطلب صلاحية الوصول الكامل إلى القرص بحجة إدارة النظام.

ومن خلال إنشاء نافذة مصادقة تبدو أصلية تماماً، تخدع البرمجية المستخدمين لإدخال كلمة مرور النظام، مما يمنحها وصولاً مباشراً إلى سلسلة مفاتيح تسجيل الدخول. وتُشفّر البيانات المسروقة لاحقاً باستخدام معيار AES-256-GCM عبر مكتبة CommonCrypto قبل إرسالها إلى خادم المهاجم.

كيفية اكتشاف برمجية CrashStealer وحظرها

رغم أن شركة Apple ألغت شهادات التوقيع الخاصة بتطبيق Werkbit، مما أدى إلى تعطيل مسار الهجوم الحالي، إلا أن الشيفرة الأساسية للبرمجية قد تظهر مجدداً. لحماية نظامك، انتبه إلى هذه العلامات التحذيرية:

  • التحقق من أداة الإبلاغ عن الأعطال: تُعد أداة الإبلاغ عن الأعطال الرسمية من شركة Apple مدمجة بعمق في نظام macOS. وأي عملية تنزيل لجهة خارجية تحاول تثبيت أو تشغيل أداة CrashReporter مستقلة تُعتبر ضارة حتماً.
  • التدقيق في مطالبات كلمة المرور: كن حذراً للغاية من أي تطبيق مثبت حديثاً يطلب كلمة مرور النظام فور تشغيله، خاصة إذا ادعى حاجته إلى صلاحيات إدارة النظام.
  • التحقق من مصادر التطبيقات: حتى إذا تجاوز التطبيق نظام Gatekeeper، التزم بتنزيل البرامج الحساسة من المطورين المعتمدين ومتجر Mac App Store فقط.

وهم الأمان في نظام التوثيق

يكشف نجاح برمجية CrashStealer في تجاوز عملية التوثيق الخاصة بشركة Apple عن نقطة ضعف حرجة في أمان نظام macOS. يعتمد التوثيق بشكل كبير على الفحص الآلي، وهو ما يتعلم المهاجمون المتطورون تجاوزه باستمرار باستخدام الحمولات المشفرة أو تكتيكات التنفيذ المؤجل. واللافت أن الإصدار الأولي من تطبيق Werkbit كان محمياً برمز تعريف شخصي، مما يشير إلى حملة من التصيد الموجّه (Spear Phishing) بدلاً من هجوم عشوائي واسع النطاق.

تُثبت هذه الحادثة أن ختم الموافقة من شركة Apple لم يعد ضماناً مطلقاً للأمان. ويجب على مستخدمي أجهزة Mac التوقف عن الاعتماد الحصري على نظام Gatekeeper، وتبني نموذج انعدام الثقة (Zero Trust). لقد أصبح التعامل مع كل مطالبة بكلمة المرور بشكوك شديدة، بغض النظر عن حالة توثيق التطبيق، مهارة بقاء إلزامية لمستخدمي نظام macOS.

هل أعجبك هذا المقال؟
Advertisement

عمليات البحث الشائعة