هل تريد نشرة يومية مجانية مخصصة؟ اختر فقط المواضيع التي تهمك ووفّر وقتك.

CrashStealer يتجاوز حماية macOS عبر ملف موثق

ملخص للمقال
  • برمجية CrashStealer على macOS تظهر كتهديد جديد يسرق كلمات المرور وبيانات Keychain ومحافظ العملات الرقمية ومديري كلمات المرور عبر تطوير أصلي بلغة ++C
  • CrashStealer يتجاوز حماية macOS عبر ملف موثق من آبل داخل DMG باسم Werkbit.app، ما يسمح بعبور Gatekeeper وتقليل الشكوك عند المستخدمين المستهدفين
  • الهجوم لا يُنشر عشوائياً، إذ يرتبط تنزيل Werkbit.app برمز PIN للاجتماعات، ما يشير إلى استهداف دقيق لضحايا محددين ضمن حملة تصيد متقدمة
  • سلسلة الإصابة تشمل تنزيل CrashReporter.dmg إلى /tmp، ثم الاتصال بـ GitHub لجلب sys.cache واستخراج أمر curl لتحميل السكربت والحمولة النهائية
  • بعد التنفيذ، يثبت CrashStealer نفسه كعنصر LaunchAgent على macOS، ويعرض نافذة تطلب كلمة المرور للتحقق المحلي قبل جمع البيانات الحساسة
  • مقارنة ببرمجيات سرقة macOS السابقة، يمنح التوثيق من آبل واستخدام Dropper موثق CrashStealer قدرة أعلى على التخفي، مع توقع تصاعد الهجمات المشابهة مستقبلاً
هل تريد نشرة يومية مجانية مخصصة؟ اختر اهتماماتك هنا
CrashStealer يتجاوز حماية macOS عبر ملف موثق
محتوى المقال
جاري التحميل...

برمجية CrashStealer الجديدة تستهدف أجهزة macOS عبر مُثبت موثق من آبل، ما يسمح لها بتجاوز Gatekeeper وسرقة كلمات المرور والبيانات الحساسة.

برمجية CrashStealer على macOS

ما هي برمجية CrashStealer على macOS؟

كشفت تحليلات أمنية حديثة عن CrashStealer، وهي برمجية سرقة معلومات صُممت خصيصاً لأجهزة macOS. اللافت هنا أنها لا تعتمد على أساليب تقليدية شائعة، بل جرى تطويرها بلغة ++C الأصلية، ما يمنحها مرونة أكبر في التنفيذ والتخفي.

وبحسب ما رصده تيكبامين، فإن التهديد لا يقتصر على سرقة ملفات عادية، بل يستهدف متصفحات الويب، محافظ العملات الرقمية، مديري كلمات المرور، وحتى بيانات Keychain الخاصة بتسجيل الدخول.

كيف نجحت في تجاوز حماية آبل Gatekeeper؟

أخطر ما في هذه الحملة أن البرمجية تُوزع عبر Dropper موقّع وموثق من آبل داخل ملف DMG باسم Werkbit.app. هذا يعني أن الملف يمر من فحوصات Gatekeeper بشكل طبيعي، ما يقلل شكوك المستخدم عند التشغيل.

الموقع المرتبط بعملية التوزيع لا يقدّم الملف للجميع، بل يربط التنزيل برمز PIN خاص بالاجتماعات. هذه الخطوة توحي بأن المهاجمين يستهدفون ضحايا محددين بدقة بدلاً من نشر الهجوم بشكل عشوائي.

سلسلة الإصابة باختصار

  • تنزيل ملف DMG موثق يحمل اسم Werkbit.app
  • تشغيل التطبيق يدوياً عبر خيار Open بعد النقر بزر الفأرة الأيمن
  • الاتصال بمستودع على GitHub لجلب ملف sys.cache
  • استخراج أمر curl لتحميل سكربت جديد
  • تنزيل الحمولة النهائية CrashReporter.dmg إلى مجلد /tmp

ما البيانات التي تسرقها CrashStealer؟

بعد التنفيذ، تعمل البرمجية على تثبيت نفسها كعنصر LaunchAgent لضمان الاستمرارية بعد إعادة التشغيل. ثم تعرض نافذة تطلب كلمة مرور المستخدم وتتحقق منها محلياً قبل بدء جمع البيانات.

هذه الخطوة تمنحها قدرة إضافية على فتح Login Keychain والوصول إلى معلومات أكثر حساسية. كما أنها تفحص وجود أدوات الحماية والتحليل قبل استكمال النشاط الخبيث.

  • بيانات المتصفحات وسجل التصفح
  • الإضافات المرتبطة بمحافظ العملات الرقمية
  • معلومات مديري كلمات المرور
  • محتويات Keychain في macOS
  • أدوات الحماية والتحليل المثبتة على الجهاز

لماذا تمثل هذه الحملة خطراً أكبر على مستخدمي macOS؟

التميّز الحقيقي في CrashStealer هو الجمع بين التوقيع الموثق، والتحقق المحلي من كلمة المرور، ثم تشفير البيانات المسروقة باستخدام AES-GCM قبل إرسالها إلى خادم المهاجم عبر libcurl. هذا الأسلوب يجعل الاكتشاف أصعب ويزيد من قيمة البيانات المسرّبة.

كما أن العثور على نطاقات وبنية خلفية مرتبطة بنفس العملية يشير إلى أن الحملة قد تكون جزءاً من نشاط أوسع متعدد المنصات، وليس هجوماً محدوداً على macOS فقط.

كيف يمكن تقليل المخاطر؟

  • عدم تشغيل ملفات DMG من مصادر غير موثوقة حتى لو بدت موثقة
  • التحقق من اسم المطور والموقع قبل فتح أي تطبيق
  • تحديث macOS وأدوات الحماية باستمرار
  • تجنب إدخال كلمة المرور في نوافذ مشبوهة أو غير متوقعة

في النهاية، تؤكد CrashStealer أن الاعتماد على التوثيق وحده لم يعد كافياً لحماية مستخدمي macOS. ولهذا ينصح تيكبامين بالتعامل بحذر مع أي مثبت غير معروف، خصوصاً عندما يطلب صلاحيات أو كلمة مرور مباشرة بعد التشغيل.

التعليقات (1)


أضف تعليقك

عدد الأحرف: 0 يدعم: **نص غامق** *مائل* `كود` [رابط](url)

مقالات مرتبطة


مقالات مقترحة

محتوى المقال
جاري التحميل...