يتعرض مستخدمو أجهزة Mac الذين يبحثون عن تطبيق إدارة الحافظة الشهير Maccy لاستهداف مباشر من سلالة برمجيات خبيثة جديدة صُممت لسرقة كلمات مرور تسجيل الدخول إلى النظام. تتخفى هذه البرمجية، التي أُطلق عليها اسم PamStealer، في شكل مُثبّت شرعي لخداع الضحايا ودفعهم لتسليم بيانات الاعتماد الخاصة بهم عبر نوافذ حوار تبدو وكأنها أصلية من نظام macOS.
وبحسب باحثي الأمن السيبراني في شركة Jamf، يعتمد هذا الهجوم بشكل كبير على أساليب الهندسة الاجتماعية (Social Engineering) وأدوات الأتمتة المدمجة في نظام Apple لتجاوز المراقبة الأمنية التقليدية. ويُبرز هذا التهديد التطور المتزايد في كيفية تلاعب الجهات الخبيثة بواجهات النظام الموثوقة.
كيفية تنفيذ هجوم PamStealer
تصل البرمجية الخبيثة على شكل صورة قرص تحتوي على ملف AppleScript ينتحل صفة تطبيق Maccy. وعندما يفتح المستخدم الملف، يقوم نظام macOS بتشغيله داخل محرر البرامج النصية (Script Editor) بدلاً من بدء عملية تثبيت قياسية. بعد ذلك، تطلب التعليمات التي تظهر على الشاشة من الضحية تنفيذ البرنامج النصي باستخدام اختصار لوحة المفاتيح Command-R أو النقر على زر التشغيل، وهي خطوة إعداد غير معتادة تؤدي فعلياً إلى تشغيل أكواد برمجية خبيثة مخفية.
ولتجنب الاكتشاف، تتجنب برمجية PamStealer استخدام أدوات سطر الأوامر الشائعة في أجهزة Mac والتي تراقبها عادةً برامج الأمان. بدلاً من ذلك، تستفيد من ميزات الأتمتة الأصلية في نظام Apple لتنزيل وتشغيل المرحلة التالية من الهجوم. ثم تختبئ الحمولة الخبيثة داخل حزم تطبيقات تتظاهر بأنها مكونات شرعية لنظام macOS، مثل تطبيق Finder أو أداة تحديث البرامج (Software Update)، وتستخدم أيقونات Apple الأصلية لجعل الهجوم أكثر إقناعاً.
فخ المطالبة بكلمة المرور
تُعد آلية حصاد بيانات الاعتماد المرحلة الأكثر خطورة في إصابة PamStealer. تُنشئ البرمجية الخبيثة مربع حوار يبدو أصلياً في نظام Mac ينص على أن تطبيق Maccy يطلب الإذن لإجراء تغييرات، مما يدفع المستخدم لإدخال كلمة مرور النظام الخاصة به.
ونظراً لأن كلمة المرور يتم التحقق منها عبر نظام التحقق الفعلي لتسجيل الدخول في macOS، فإن المطالبة ستستمر في الظهور إذا تم إدخال كلمة مرور خاطئة. وبمجرد أن يقدم الضحية بيانات الاعتماد الصحيحة، تلتقط برمجية PamStealer البيانات وتخفي المطالبة برسالة خطأ وهمية تدعي أن التطبيق تالف ولا يمكن فتحه.
وبالإضافة إلى سرقة كلمات المرور، تراقب البرمجية الخبيثة حافظة النظام بنشاط وتسجل نفسها لتعمل تلقائياً عند كل عملية تسجيل دخول. وفي بعض الحالات، تنتظر برمجية PamStealer مدة تصل إلى 40 دقيقة قبل طلب الوصول الكامل إلى القرص (Full Disk Access)، وهو تأخير متعمد يهدف إلى منع المستخدم من ربط طلب الإذن المفاجئ بالمُثبّت الوهمي الأولي.
خطوات حماية جهاز Mac الخاص بك
نظراً لأن برمجية PamStealer تعتمد على تفاعل المستخدم بدلاً من استغلال ثغرات اليوم الصفر (Zero-day)، فإن الدفاع يتطلب وعياً أمنياً صارماً عند التنزيل وفهماً لسلوكيات نظام macOS القياسية.
- التحقق من المصدر: قم بتنزيل التطبيق فقط من القنوات الرسمية أو عبر الموقع الشرعي maccy.app.
- الحذر من محرر البرامج النصية: لن تطلب منك تطبيقات macOS الشرعية أبداً فتح محرر البرامج النصية (Script Editor) وتشغيل الأكواد يدوياً لتثبيتها.
- التدقيق في المطالبات المتأخرة: كن حذراً للغاية من طلبات الوصول الكامل إلى القرص (Full Disk Access) العشوائية التي تظهر فجأة، خاصة إذا لم تقم بتثبيت برامج جديدة مؤخراً.
تحول الهندسة الاجتماعية في برمجيات Mac الخبيثة
تُسلط برمجية PamStealer الضوء على اتجاه متزايد في البرمجيات الخبيثة التي تستهدف نظام macOS: تسليح ثقة المستخدم بدلاً من كسر بنية النظام. من خلال استخدام ملفات AppleScript وعناصر واجهة المستخدم (UI) الأصلية مثل أيقونة تطبيق Finder ونوافذ كلمات المرور القياسية، يستخدم المهاجمون فعلياً التصميم السلس لنظام macOS ضد المستخدم نفسه.
يتجاوز هذا النهج أدوات اكتشاف نقاط النهاية التقليدية التي تبحث عن أوامر مشبوهة في موجه الأوامر (Terminal) أو عمليات خلفية غير مصرح بها. عندما تطلب البرمجية الخبيثة كلمة مرور من خلال مطالبة نظام تبدو شرعية، فإن نقطة الضعف لم تعد في الأكواد البرمجية، بل في العادة المكتسبة لدى المستخدم بالموافقة العمياء على طلبات النظام. ومع استمرار شركة Apple في تأمين نظام macOS على مستوى النواة، يمكننا أن نتوقع اعتماد الجهات الفاعلة في التهديدات بشكل متزايد على تكتيكات انتحال واجهة المستخدم المعقدة هذه لاستخراج بيانات الاعتماد مباشرة من المصدر.