هل تريد نشرة يومية مجانية مخصصة؟ اختر فقط المواضيع التي تهمك ووفّر وقتك.

PamStealer يسرق كلمات مرور macOS بحيلة ذكية

ملخص للمقال
  • PamStealer يسرق كلمات مرور macOS بحيلة ذكية عبر موقع مزيف ينتحل تطبيق Maccy، ما يجعله تهديداً جديداً وخطيراً يستهدف مستخدمي أجهزة Mac مباشرة
  • الهجوم يبدأ بتحميل ملف DMG يبدو شرعياً، لكنه يحتوي على سكريبت AppleScript مترجم بامتداد SCPT لتشغيل الحمولة الخبيثة بهدوء ودون إثارة الشكوك
  • التفاصيل التقنية تكشف أن PamStealer يسرق كلمات مرور macOS ثم يتحقق من صحتها محلياً عبر PAM، ما يقلل الأخطاء ويرفع قيمة بيانات الاعتماد المسروقة
  • بعد الإصابة الأولية، تقوم البرمجية بتنزيل حمولة ثانية مكتوبة بلغة Rust، مسؤولة عن سرقة بيانات المتصفحات وملفات الجلسات وإنشاء آلية بقاء دائمة
  • تأثير PamStealer على مستخدمي macOS أكبر من البرمجيات التقليدية، لأنه يجمع كلمة مرور تسجيل الدخول وبيانات حساسة متعددة بدقة أعلى واستمرارية أخطر
  • مقارنة بتهديدات macOS السابقة، يتميز PamStealer بحيلة ذكية تجمع بين تطبيق مقلد والتحقق المحلي من كلمة المرور، ما يرجح تصاعد هذا النوع مستقبلاً
هل تريد نشرة يومية مجانية مخصصة؟ اختر اهتماماتك هنا
PamStealer يسرق كلمات مرور macOS بحيلة ذكية
محتوى المقال
جاري التحميل...

يظهر PamStealer كتهديد جديد يستهدف macOS عبر موقع مزيف وتطبيق مقلد، لسرقة كلمة مرور تسجيل الدخول وبيانات حساسة بهدوء.

برمجية PamStealer على macOS

ما هو PamStealer ولماذا يثير القلق على macOS؟

رصد باحثون أمنيون برمجية خبيثة جديدة تحمل اسم PamStealer، وهي مصممة خصيصاً لاستهداف أجهزة Mac وسرقة معلومات المستخدمين. الخطير هنا أنها لا تكتفي بجمع البيانات، بل تتحقق أيضاً من صحة كلمة مرور تسجيل الدخول محلياً قبل حفظها.

وبحسب ما تتابعه تيكبامين، فإن هذا الأسلوب يمنح المهاجمين دقة أكبر، لأنه يقلل من جمع كلمات مرور خاطئة ويزيد من قيمة البيانات المسروقة لاحقاً.

كيف تصل البرمجية الخبيثة إلى أجهزة أبل؟

تبدأ الهجمة من موقع مزيف ينتحل هوية تطبيق Maccy الشهير لإدارة الحافظة على macOS. وعند تنزيل الملف، يحصل الضحية على نسخة تبدو شرعية، لكنها في الواقع تحتوي على AppleScript مترجم بامتداد SCPT.

المرحلة الأولى من الهجوم

  • ملف داخل صورة قرص DMG يبدو طبيعياً للمستخدم
  • سكريبت مموه باسم Maccy.scpt
  • اعتماد على Script Editor لتشغيل الحمولة الخبيثة
  • إخفاء الكود الفعلي أسفل مساحة فارغة كبيرة داخل الملف

هذه الحيلة تدفع المستخدم لتشغيل السكريبت يدوياً عبر زر التشغيل أو اختصار لوحة المفاتيح، وهو ما يسمح بتنفيذ الأوامر دون إثارة الشك سريعاً.

ما الذي يفعله PamStealer بعد الإصابة؟

بعد التنفيذ الأولي، تقوم البرمجية بتنزيل حمولة ثانية مبنية بلغة Rust. هذه المرحلة أكثر خطورة، لأنها مسؤولة عن سرقة بيانات الاعتماد، وجمع معلومات المتصفح، وإنشاء آليات بقاء على الجهاز، ثم تهريب البيانات إلى المهاجمين.

أبرز قدرات البرمجية

  • سرقة كلمة مرور تسجيل الدخول إلى macOS
  • التحقق من كلمة المرور عبر PAM محلياً
  • جمع بيانات المتصفحات وملفات الجلسات
  • تثبيت آلية استمرارية Persistence
  • إرسال البيانات المسروقة إلى خوادم خارجية

ميزة التحقق عبر PAM تجعل الهجوم أكثر هدوءاً واحترافية مقارنة بكثير من برمجيات سرقة المعلومات التقليدية على أجهزة Mac.

لماذا تستهدف البرمجية أجهزة محددة فقط؟

الهجوم ليس عشوائياً بالكامل، إذ يعتمد على فحص بيئة الجهاز قبل متابعة التنفيذ. البرمجية تجمع بصمة للنظام تشمل المعمارية، واللغة، وتخطيط لوحة المفاتيح، والمنطقة الزمنية، ثم تستخدم هذه المعلومات لفك إعدادات مشفرة.

شروط تفعيل الهجوم

  • العمل على أجهزة Apple Silicon بدلاً من أجهزة Intel
  • تجنب بيئات التحليل أو الصناديق المعزولة
  • استبعاد بعض الدول في أوروبا الشرقية وآسيا الوسطى
  • مطابقة مفاتيح فك التشفير مع بصمة الجهاز المستهدف

إذا لم تتطابق هذه الشروط، تتوقف البرمجية عن العمل، وهو ما يشير إلى أن مطوريها يفضلون عمليات انتقائية لتقليل فرص الاكتشاف.

كيف يحمي مستخدمو macOS أنفسهم من PamStealer؟

أفضل خطوة حالياً هي تجنب تنزيل التطبيقات من مواقع شبيهة أو روابط غير موثوقة، حتى لو بدت مطابقة للتطبيق الأصلي. كما يُنصح بالتأكد من اسم النطاق، وعدم تشغيل ملفات سكريبت غير معروفة داخل Script Editor.

  • حمّل التطبيقات من الموقع الرسمي أو المتجر الموثوق
  • تحقق من اسم النطاق بدقة قبل التنزيل
  • لا تمنح صلاحيات حساسة لملفات غير موثوقة
  • استخدم حلاً أمنياً محدثاً على macOS
  • غيّر كلمة المرور فوراً إذا ظهرت مؤشرات اختراق

في النهاية، يثبت PamStealer أن هجمات macOS تتطور بسرعة، وأن الوعي بالمواقع المزيفة لم يعد خياراً ثانوياً. لذلك ترى تيكبامين أن الحذر من الملفات المقلدة أصبح خط الدفاع الأول للمستخدمين.

التعليقات (1)


أضف تعليقك

عدد الأحرف: 0 يدعم: **نص غامق** *مائل* `كود` [رابط](url)

مقالات مرتبطة


مقالات مقترحة

محتوى المقال
جاري التحميل...