كشف باحثون في مجال الأمن السيبراني عن برمجية خبيثة جديدة تستهدف أجهزة Apple التي تعمل بنظام macOS، وتقوم بجمع مجموعة واسعة من المعلومات، مما يشير إلى تزايد تركيز المهاجمين على هذا النظام التشغيلي.
تُعرف هذه البرمجية الخبيثة باسم “Cthulhu Stealer”، وهي متاحة للبيع كخدمة برمجيات خبيثة (MaaS) مقابل 500 دولار شهريًا منذ أواخر عام 2023. وهي قادرة على استهداف كل من معماريات x86_64 وArm.
وقالت الباحثة في شركة Cato Security، تارا جولد: “Cthulhu Stealer هي صورة قرص Apple (DMG) تأتي مع ملفين تنفيذيين، حسب المعمارية”. وأوضحت أن البرمجية مكتوبة بلغة Golang وتتظاهر بأنها برامج مشروعة.
بعض البرامج التي تنتحل البرمجية هويتها تشمل CleanMyMac وGrand Theft Auto IV وAdobe GenP، وهو أداة مفتوحة المصدر تُستخدم لتجاوز خدمة Adobe Creative Cloud وتفعيل التطبيقات دون الحاجة إلى مفتاح تسلسلي.
يتم استدراج المستخدمين الذين يقومون بتشغيل الملف غير الموقع بعد السماح له يدويًا – أي تجاوز حماية Gatekeeper – لإدخال كلمة مرور النظام الخاصة بهم، وهي تقنية تعتمد على osascript وتم تبنيها من قبل برمجيات خبيثة أخرى مثل Atomic Stealer وCuckoo وMacStealer وBanshee Stealer.
في الخطوة التالية، يُطلب من المستخدمين إدخال كلمة مرور MetaMask الخاصة بهم. تم تصميم Cthulhu Stealer أيضًا لجمع معلومات النظام وسرقة كلمات مرور iCloud Keychain باستخدام أداة مفتوحة المصدر تُسمى Chainbreaker.
يتم ضغط البيانات المسروقة، التي تشمل أيضًا ملفات تعريف الارتباط لمتصفحات الويب ومعلومات حسابات Telegram، وحفظها في ملف ZIP، ثم يتم إرسالها إلى خادم القيادة والسيطرة (C2).
وقالت جولد: “الوظيفة الرئيسية لـ Cthulhu Stealer هي سرقة بيانات الاعتماد ومحافظ العملات المشفرة من عدة مصادر، بما في ذلك حسابات الألعاب”.
“الوظائف والميزات في Cthulhu Stealer مشابهة جدًا لـ Atomic Stealer، مما يشير إلى أن مطور Cthulhu Stealer قد يكون قام بتعديل كود Atomic Stealer. استخدام osascript لاستدعاء المستخدم لإدخال كلمة المرور متشابه في البرمجيتين، حتى في الأخطاء الإملائية.”
ويُقال إن الجهة التي تقف وراء البرمجية لم تعد نشطة، وذلك بسبب نزاعات حول المدفوعات التي أدت إلى اتهامات بعملية احتيال من قبل الشركاء، مما أسفر عن حظر المطور الرئيسي بشكل دائم من سوق جرائم الإنترنت المستخدم للإعلان عن البرمجية.
لا تُعتبر Cthulhu Stealer برمجية متطورة بشكل خاص وتفتقر إلى تقنيات التحليل المضاد التي يمكن أن تسمح لها بالعمل بسرية. كما أنها تفتقر إلى أي ميزات بارزة تميزها عن العروض المشابهة الأخرى في السوق السوداء.
على الرغم من أن التهديدات الموجهة لنظام macOS أقل شيوعًا مقارنة بنظامي Windows وLinux، يُنصح المستخدمون بتنزيل البرامج فقط من مصادر موثوقة، وتجنب تثبيت التطبيقات غير الموثوقة، والحفاظ على أنظمتهم محدثة بأحدث التحديثات الأمنية.
لم يغفل Apple عن هذا الارتفاع في البرمجيات الخبيثة التي تستهدف نظام macOS، حيث أعلنت الشركة في وقت سابق من هذا الشهر عن تحديث لنظام التشغيل القادم يهدف إلى إضافة مزيد من الصعوبة عند محاولة فتح البرامج التي لم يتم توقيعها بشكل صحيح أو لم يتم توثيقها.
وقالت Apple: “في macOS Sequoia، لن يتمكن المستخدمون بعد الآن من استخدام زر التحكم-النقر لتجاوز Gatekeeper عند فتح البرامج التي لم يتم توقيعها بشكل صحيح أو توثيقها”. وأضافت: “سيحتاجون إلى زيارة الإعدادات العامة > الخصوصية والأمان لمراجعة المعلومات الأمنية للبرامج قبل السماح بتشغيلها”.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.mnzor.com/4626/&media=https://www.mnzor.com/wp-content/uploads/2024/08/macos-malware.webp&description=اكتشاف برمجية خبيثة جديدة تُسمى "Cthulhu Stealer" تستهدف نظام macOS، تقوم بسرقة بيانات المستخدمين بما في ذلك كلمات المرور ومحافظ العملات المشفرة. يُوصى بتوخي الحذر عند تنزيل البرامج من مصادر غير موثوقة وتحديث الأنظمة بأحدث التصحيحات الأمنية.){kind=link}