برامج Mac الضارة الجديدة "MacSync" تسرق محافظ العملات المشفرة

حذرت شركة أمان Blockchain SlowMist من برنامج جديد مدمر للغاية لسرقة معلومات نظام التشغيل MacOS يطلق عليه اسم "MacSync Stealer" (الإصدار 1.1.2).

تستهدف حملة البرامج الضارة النشطة مستخدمي Apple على وجه التحديد لاستنزاف محافظ العملات المشفرة وسحب بيانات اعتماد البنية التحتية الحساسة للغاية.

طريقة العمل

يتم استخدام أساليب الهندسة الاجتماعية الخادعة من قبل جهات ضارة لتجاوز دفاعات المستخدم.

تستخدم البرامج الضارة مربعات حوار مزيفة لنظام AppleScript تحاكي مطالبات كلمة مرور macOS المشروعة بالتصيد الاحتيالي للحصول على بيانات اعتماد تسجيل الدخول الخاصة بالمستخدم.

تقوم البرامج الضارة بإخراج بياناتها بصمت في الخلفية بمجرد أن تبتلع الضحية الطعم. يعرض MacSync Stealer رسالة خطأ زائفة "غير مدعوم" فور اكتمال عملية استخراج البيانات حتى لا يثير أي شك. الحيلة تجعل الأمر يبدو وكأن التطبيق فشل في التشغيل.

وبصرف النظر عن مستخدمي العملات المشفرة، تستهدف البرامج الضارة بيانات اعتماد المتصفح وسلاسل مفاتيح نظام macOS ومفاتيح البنية التحتية الحيوية، بما في ذلك بيانات اعتماد SSH وAWS وKubernetes (K8s).

حوادث أخرى متعلقة بنظام التشغيل MacOS

هذه ليست حادثة معزولة. اكتشف فريق الأمان في Bybit للتو حملة برامج ضارة تستهدف مستخدمي macOS الذين يبحثون عن Claude Code.

في الآونة الأخيرة، كشفت Microsoft Threat Intelligence عن حملة macOS شديدة الاستهداف نظمتها "Sapphire Sleet"، وهي جهة تهديد معروفة ترعاها الدولة في كوريا الشمالية. يستخدم Sapphire Sleet هندسة اجتماعية متقدمة لانتحال تحديثات برامج macOS المشروعة وسرقة محافظ العملات المشفرة.

تجدر الإشارة أيضًا إلى البرنامج الضار "Infinity Stealer"، الذي أظهر كيفية تكييف أساليب الهجوم المرتكزة على نظام التشغيل Windows مع نظام التشغيل macOS. ويستخدم تقنية "ClickFix" لتزويد الضحايا بصفحة CAPTCHA مزيفة. حددت شركة الأمن السيبراني SOC Prime أيضًا "MioLab"، وهو برنامج سرقة معلومات لنظام التشغيل MacOS تم توزيعه تجاريًا ومصمم خصيصًا لاستهداف الضحايا ذوي القيمة العالية، بما في ذلك حاملي العملات المشفرة.