برمجية CrashStealer الجديدة تستهدف أجهزة macOS عبر مُثبت موثق من آبل، ما يسمح لها بتجاوز Gatekeeper وسرقة كلمات المرور والبيانات الحساسة.
ما هي برمجية CrashStealer على macOS؟
كشفت تحليلات أمنية حديثة عن CrashStealer، وهي برمجية سرقة معلومات صُممت خصيصاً لأجهزة macOS. اللافت هنا أنها لا تعتمد على أساليب تقليدية شائعة، بل جرى تطويرها بلغة ++C الأصلية، ما يمنحها مرونة أكبر في التنفيذ والتخفي.
وبحسب ما رصده تيكبامين، فإن التهديد لا يقتصر على سرقة ملفات عادية، بل يستهدف متصفحات الويب، محافظ العملات الرقمية، مديري كلمات المرور، وحتى بيانات Keychain الخاصة بتسجيل الدخول.
كيف نجحت في تجاوز حماية آبل Gatekeeper؟
أخطر ما في هذه الحملة أن البرمجية تُوزع عبر Dropper موقّع وموثق من آبل داخل ملف DMG باسم Werkbit.app. هذا يعني أن الملف يمر من فحوصات Gatekeeper بشكل طبيعي، ما يقلل شكوك المستخدم عند التشغيل.
الموقع المرتبط بعملية التوزيع لا يقدّم الملف للجميع، بل يربط التنزيل برمز PIN خاص بالاجتماعات. هذه الخطوة توحي بأن المهاجمين يستهدفون ضحايا محددين بدقة بدلاً من نشر الهجوم بشكل عشوائي.
سلسلة الإصابة باختصار
- تنزيل ملف DMG موثق يحمل اسم Werkbit.app
- تشغيل التطبيق يدوياً عبر خيار Open بعد النقر بزر الفأرة الأيمن
- الاتصال بمستودع على GitHub لجلب ملف sys.cache
- استخراج أمر curl لتحميل سكربت جديد
- تنزيل الحمولة النهائية CrashReporter.dmg إلى مجلد /tmp
ما البيانات التي تسرقها CrashStealer؟
بعد التنفيذ، تعمل البرمجية على تثبيت نفسها كعنصر LaunchAgent لضمان الاستمرارية بعد إعادة التشغيل. ثم تعرض نافذة تطلب كلمة مرور المستخدم وتتحقق منها محلياً قبل بدء جمع البيانات.
هذه الخطوة تمنحها قدرة إضافية على فتح Login Keychain والوصول إلى معلومات أكثر حساسية. كما أنها تفحص وجود أدوات الحماية والتحليل قبل استكمال النشاط الخبيث.
- بيانات المتصفحات وسجل التصفح
- الإضافات المرتبطة بمحافظ العملات الرقمية
- معلومات مديري كلمات المرور
- محتويات Keychain في macOS
- أدوات الحماية والتحليل المثبتة على الجهاز
لماذا تمثل هذه الحملة خطراً أكبر على مستخدمي macOS؟
التميّز الحقيقي في CrashStealer هو الجمع بين التوقيع الموثق، والتحقق المحلي من كلمة المرور، ثم تشفير البيانات المسروقة باستخدام AES-GCM قبل إرسالها إلى خادم المهاجم عبر libcurl. هذا الأسلوب يجعل الاكتشاف أصعب ويزيد من قيمة البيانات المسرّبة.
كما أن العثور على نطاقات وبنية خلفية مرتبطة بنفس العملية يشير إلى أن الحملة قد تكون جزءاً من نشاط أوسع متعدد المنصات، وليس هجوماً محدوداً على macOS فقط.
كيف يمكن تقليل المخاطر؟
- عدم تشغيل ملفات DMG من مصادر غير موثوقة حتى لو بدت موثقة
- التحقق من اسم المطور والموقع قبل فتح أي تطبيق
- تحديث macOS وأدوات الحماية باستمرار
- تجنب إدخال كلمة المرور في نوافذ مشبوهة أو غير متوقعة
في النهاية، تؤكد CrashStealer أن الاعتماد على التوثيق وحده لم يعد كافياً لحماية مستخدمي macOS. ولهذا ينصح تيكبامين بالتعامل بحذر مع أي مثبت غير معروف، خصوصاً عندما يطلب صلاحيات أو كلمة مرور مباشرة بعد التشغيل.