- تقوم الأداة المساعدة Fake CleanMyMac بنشر برنامج SHub infostealer
- يخدع الهجوم المستخدمين للصق أوامر المحطة الطرفية
- تسرق البرامج الضارة بيانات الاعتماد والتشفير وتستمر عبر الباب الخلفي
حذّر الخبراء من أن أحد البرامج المساعدة المزيفة لنظام التشغيل MacOs يخدع المستخدمين لتثبيت برنامج ضار لسرقة المعلومات والذي يقوم بتسريب كلمات المرور والملفات الحساسة وحتى الأموال.
وقال باحثو الأمن في Malwarebytes إن البرنامج كان جزءًا من حملة أوسع نطاقًا ومتطورة للغاية والتي تضمنت أيضًا موقع ويب مخصصًا وانتحال علامة تجارية حسنة السمعة ومحملًا ونهج ClickFix القديم الجيد.
قال الباحثون إن الحملة انتحلت برنامج CleanMyMac، وهو برنامج مشروع لتحسين أجهزة Mac تم إنشاؤه بواسطة MacPaw، مما أدى إلى إنشاء موقع ويب متطابق تقريبًا على Cleanmymacos[DOT]org، مما يجعل من السهل على الأشخاص الخلط بينه وبين النطاق الحقيقي. ومع ذلك، بدلاً من مجرد تنزيل برنامج التثبيت وتشغيله، يُطلب من الضحايا فتح محطة طرفية ولصق أمر يجلب الحمولة من خادم طرف ثالث.
يستمر المقال أدناه
سرقة الملفات وترسيخ الثبات
وأوضح Malwarebytes: “بدلاً من استغلال الثغرة الأمنية، فإنه يخدع المستخدم لتشغيل البرامج الضارة بنفسه”. “نظرًا لأن الأمر يتم تنفيذه طوعًا، فإن وسائل الحماية مثل Gatekeeper وفحوصات التوثيق وXProtect توفر القليل من الحماية بمجرد أن يلصق المستخدم الأمر ويضغط على Return.”
تسمى البرامج الضارة التي يتم تثبيتها بهذه الطريقة SHub، وأثناء التثبيت، ستطلب من الضحية كلمة مرور macOS الخاصة به. وأوضح الباحثون أن عملية التثبيت بأكملها غير تقليدية إلى حد ما ويمكن أن تبدو وكأنها شيء يفعله مستخدم قوي، وقد يرفضها المستخدمون كممارسة قياسية.
ومع ذلك، فإن كلمة المرور تمنح SHub في الواقع إمكانية الوصول إلى سلسلة مفاتيح macOS وبيانات اعتماد Wi-Fi والرموز المميزة للتطبيقات والمفاتيح الخاصة الأخرى.
قال باحثو Malwarebytes: “مع وجود كلمة المرور في متناول اليد، يبدأ SHub في عملية مسح منهجية للجهاز”.
بعد سرقة كلمات المرور، وملفات تعريف الارتباط، وبيانات الملء التلقائي، وملحقات محفظة العملات المشفرة، وبيانات حساب iCloud، وملفات جلسة Telegram، وغيرها من الأشياء الثمينة، فإنها تسقط بابًا خلفيًا من المرحلة الثانية يستبدل بعض تطبيقات محفظة العملات المشفرة بنسخ ضارة. وبهذه الطريقة، تحافظ البرامج الضارة على استمراريتها، بل وتسمح بسرقة عملات مشفرة إضافية في المستقبل.
وأخيرًا، سيقوم المحتالون بتثبيت LaunchAgent عن طريق انتحال خدمة تحديث Google.
وخلص التقرير إلى أنه “من الناحية العملية، يمنح هذا المهاجمين القدرة على تشغيل الأوامر على جهاز Mac المصاب في أي وقت حتى يتم اكتشاف آلية الثبات وإزالتها”.
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات