يظهر PamStealer كتهديد جديد يستهدف macOS عبر موقع مزيف وتطبيق مقلد، لسرقة كلمة مرور تسجيل الدخول وبيانات حساسة بهدوء.
ما هو PamStealer ولماذا يثير القلق على macOS؟
رصد باحثون أمنيون برمجية خبيثة جديدة تحمل اسم PamStealer، وهي مصممة خصيصاً لاستهداف أجهزة Mac وسرقة معلومات المستخدمين. الخطير هنا أنها لا تكتفي بجمع البيانات، بل تتحقق أيضاً من صحة كلمة مرور تسجيل الدخول محلياً قبل حفظها.
وبحسب ما تتابعه تيكبامين، فإن هذا الأسلوب يمنح المهاجمين دقة أكبر، لأنه يقلل من جمع كلمات مرور خاطئة ويزيد من قيمة البيانات المسروقة لاحقاً.
كيف تصل البرمجية الخبيثة إلى أجهزة أبل؟
تبدأ الهجمة من موقع مزيف ينتحل هوية تطبيق Maccy الشهير لإدارة الحافظة على macOS. وعند تنزيل الملف، يحصل الضحية على نسخة تبدو شرعية، لكنها في الواقع تحتوي على AppleScript مترجم بامتداد SCPT.
المرحلة الأولى من الهجوم
- ملف داخل صورة قرص DMG يبدو طبيعياً للمستخدم
- سكريبت مموه باسم Maccy.scpt
- اعتماد على Script Editor لتشغيل الحمولة الخبيثة
- إخفاء الكود الفعلي أسفل مساحة فارغة كبيرة داخل الملف
هذه الحيلة تدفع المستخدم لتشغيل السكريبت يدوياً عبر زر التشغيل أو اختصار لوحة المفاتيح، وهو ما يسمح بتنفيذ الأوامر دون إثارة الشك سريعاً.
ما الذي يفعله PamStealer بعد الإصابة؟
بعد التنفيذ الأولي، تقوم البرمجية بتنزيل حمولة ثانية مبنية بلغة Rust. هذه المرحلة أكثر خطورة، لأنها مسؤولة عن سرقة بيانات الاعتماد، وجمع معلومات المتصفح، وإنشاء آليات بقاء على الجهاز، ثم تهريب البيانات إلى المهاجمين.
أبرز قدرات البرمجية
- سرقة كلمة مرور تسجيل الدخول إلى macOS
- التحقق من كلمة المرور عبر PAM محلياً
- جمع بيانات المتصفحات وملفات الجلسات
- تثبيت آلية استمرارية Persistence
- إرسال البيانات المسروقة إلى خوادم خارجية
ميزة التحقق عبر PAM تجعل الهجوم أكثر هدوءاً واحترافية مقارنة بكثير من برمجيات سرقة المعلومات التقليدية على أجهزة Mac.
لماذا تستهدف البرمجية أجهزة محددة فقط؟
الهجوم ليس عشوائياً بالكامل، إذ يعتمد على فحص بيئة الجهاز قبل متابعة التنفيذ. البرمجية تجمع بصمة للنظام تشمل المعمارية، واللغة، وتخطيط لوحة المفاتيح، والمنطقة الزمنية، ثم تستخدم هذه المعلومات لفك إعدادات مشفرة.
شروط تفعيل الهجوم
- العمل على أجهزة Apple Silicon بدلاً من أجهزة Intel
- تجنب بيئات التحليل أو الصناديق المعزولة
- استبعاد بعض الدول في أوروبا الشرقية وآسيا الوسطى
- مطابقة مفاتيح فك التشفير مع بصمة الجهاز المستهدف
إذا لم تتطابق هذه الشروط، تتوقف البرمجية عن العمل، وهو ما يشير إلى أن مطوريها يفضلون عمليات انتقائية لتقليل فرص الاكتشاف.
كيف يحمي مستخدمو macOS أنفسهم من PamStealer؟
أفضل خطوة حالياً هي تجنب تنزيل التطبيقات من مواقع شبيهة أو روابط غير موثوقة، حتى لو بدت مطابقة للتطبيق الأصلي. كما يُنصح بالتأكد من اسم النطاق، وعدم تشغيل ملفات سكريبت غير معروفة داخل Script Editor.
- حمّل التطبيقات من الموقع الرسمي أو المتجر الموثوق
- تحقق من اسم النطاق بدقة قبل التنزيل
- لا تمنح صلاحيات حساسة لملفات غير موثوقة
- استخدم حلاً أمنياً محدثاً على macOS
- غيّر كلمة المرور فوراً إذا ظهرت مؤشرات اختراق
في النهاية، يثبت PamStealer أن هجمات macOS تتطور بسرعة، وأن الوعي بالمواقع المزيفة لم يعد خياراً ثانوياً. لذلك ترى تيكبامين أن الحذر من الملفات المقلدة أصبح خط الدفاع الأول للمستخدمين.