- يكشف برنامج Malwarebytes عن برنامج Infiniti Stealer الذي يستهدف نظام التشغيل macOS عبر الهندسة الاجتماعية ClickFix
- تم خداع الضحايا لتشغيل كود طرفي ضار، وتجاوز الدفاعات التقليدية
- تم تجميع أداة Stealer باستخدام Nuitka، وتقوم بسرقة بيانات اعتماد المتصفح وبيانات Keychain والمحافظ ولقطات الشاشة
يتم استهداف أجهزة MacOS بشكل متزايد بالبرامج الضارة، حيث اكتشف الباحثون الأمنيون متغيرًا آخر لسرقة المعلومات في البرية.
نشرت شركة Malwarebytes تقريرًا متعمقًا عن قطعة من البرامج الضارة تسمى Infiniti Stealer، والتي يبدو أنها تم تجميعها بطريقة غير عادية إلى حد ما.
يبدو أن Infiniti Stealer يتم توزيعه عبر هجوم الهندسة الاجتماعية ClickFix. يخدع هجوم ClickFix الضحية من خلال تقديم “مشكلة” وفي نفس الوقت تقديم “حل”. في هذه الحالة، تقول Malwarebytes إنه تتم إعادة توجيه الضحايا للتحقق من التحديث[.]com (على الأرجح من خلال رسائل البريد الإلكتروني التصيدية التي تدعي أن بعض البرامج تحتاج إلى التحديث حتى تعمل بشكل صحيح) حيث يتم عرض اختبار CAPTCHA ذو المظهر الحميد.
يستمر المقال أدناه
جمعت مع Nuitka
إلى جانب مربع الاختيار المعتاد “أنا لست روبوتًا”، يحتوي اختبار CAPTCHA على خطوة إضافية (والتي يجب أيضًا أن تكون بمثابة علامة حمراء رئيسية): لفتح Spotlight (أداة البحث المضمنة)، وتشغيل Terminal، ولصق الكود المحدد. يقوم هذا الرمز بتشغيل قطارة تقوم بدورها بتوصيل Infiniti Stealer.
وأوضح برنامج Malwarebytes: “نظرًا لأن المستخدم يدير الأمر مباشرة، يتم تجاوز العديد من الدفاعات التقليدية”. “لا يوجد أي استغلال، ولا مرفقات ضارة، ولا يوجد تنزيل من السيارة.”
ما يجعل هذه البرامج الضارة بارزة هو حقيقة أنها مكتوبة بلغة Python، ولكن تم تجميعها باستخدام Nuitka، وهو مترجم يحول كود Python إلى ملفات تنفيذية مستقلة أو ثنائيات محسنة.
المنتج الناتج هو برنامج ثنائي أصلي لنظام التشغيل MacOS، والذي، وفقًا للباحثين، يجعل من الصعب تحليله واكتشافه مقارنةً بالبرامج الضارة النموذجية المستندة إلى لغة Python.
قال Malwarebytes: “على حد علمنا، هذه هي أول حملة موثقة لنظام التشغيل macOS تجمع بين تسليم ClickFix وأداة سرقة Python المترجمة من Nuitka”.
إن برنامج سرقة المعلومات هو أحد أشكال البرامج الضارة المصممة لاستخراج البيانات الحساسة من الأجهزة المستهدفة. عادةً ما يتم تسليم سارقي المعلومات من خلال الهندسة الاجتماعية، ويتم تثبيتهم من خلال برامج القطارات، ويحاولون تحميل أنواع مختلفة من المعلومات إلى خادم يتحكم فيه المهاجم، بما في ذلك بيانات المتصفح (ملفات تعريف الارتباط، وكلمات المرور المخزنة، والمكونات الإضافية لمحفظة العملة المشفرة، وما إلى ذلك) وكلمات المرور، والملفات الحساسة (.docx، و.txt، و.pdf، وغيرها من التنسيقات)، والملفات الأخرى التي تعتبر ذات قيمة.
اعتمادًا على نوع البرامج الضارة، يمكن أن تحاول هذه البرامج تحميل بيانات أكثر أو أقل، وتأتي مع آليات تشويش واستمرارية مختلفة.
كيفية البقاء في مأمن من التصيد وسرقة المعلومات
إنفينيتي قادرة على سرقة مجموعة واسعة من البيانات الحساسة. في المقام الأول، يبحث عن بيانات الاعتماد من المتصفحات المستندة إلى Chromium، بالإضافة إلى Firefox. يمكنه إخراج إدخالات macOS Keychain ومحافظ العملات المشفرة وأسرار النص العادي في ملفات المطورين مثل .env. وأخيرًا، سيقوم أيضًا بتصفية لقطات الشاشة التي تم التقاطها أثناء التنفيذ.
تعد الهندسة الاجتماعية أحد أساليب الاحتيال الشائعة، ولا تزال رسائل البريد الإلكتروني التصيدية هي أكبر وسيلة للهجوم على الإطلاق. ولمنع الوقوع فريسة لهذه الحملات، يجب توخي الحذر ومستوى عالٍ من الشك تجاه أي وجميع الاتصالات الواردة، سواء كانت عبر البريد الإلكتروني أو الرسائل الفورية أو الهاتف. تحقق مرة أخرى من جميع الروابط التي تتم مشاركتها في البريد الإلكتروني، وابحث عن الأخطاء المطبعية، والحروف التي تم استبدالها بالأرقام، وأي اختلافات مشبوهة في النطاقات المعروفة. (على سبيل المثال، غالبًا ما يتم كتابة كلمة Microsoft بحرف “RN” بدلاً من “M” في رسائل البريد الإلكتروني التصيدية – rnicrosoft – مما يجعل تمييزها غير ممكن تقريبًا).
كن حذرًا عند تنزيل المرفقات (خاصة عند تلقي رسالة غير متوقعة) وتأكد من تشغيل مصادقة متعددة العوامل مقاومة للتصيد الاحتيالي.
عبر BleepingComputer
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات