برنامج CrashStealer الخبيث يستهدف macOS ويتجاوز حماية Gatekeeper
كشف باحثو الأمن السيبراني في شركة Jamf Threat Labs عن برنامج ضار جديد يستهدف نظام macOS، يُعرف باسم CrashStealer، وهو مصمم لسرقة المعلومات الحساسة من الأجهزة المخترقة. يتميز هذا البرنامج الخبيث بقدرته على تجاوز آلية الحماية Gatekeeper في macOS، وذلك باستخدام مُحمّل موقّع (notarized dropper) يجتاز الفحص الأمني.
كيف يعمل CrashStealer؟
على عكس معظم برامج سرقة المعلومات التي تُبنى باستخدام AppleScript droppers أو أغلفة Objective-C، فإن CrashStealer مطوّر بلغة C++ الأصلية. يقوم البرنامج بالتحقق من كلمة مرور تسجيل الدخول للضحية محليًا قبل تنفيذ عمليات السرقة، مما يجعله أكثر تطورًا وصعوبة في الاكتشاف.
آلية تجاوز Gatekeeper
تعتمد آلية الحماية Gatekeeper في macOS على التحقق من توقيع التطبيقات وموثوقيتها قبل تشغيلها. لكن CrashStealer يستخدم مُحملاً موقّعًا من Apple (notarized) لخداع النظام، مما يسمح له بالمرور عبر الفحص دون إثارة الشبهات. بمجرد تشغيل المُحمّل، يقوم بتنزيل الحمولة الخبيثة الفعلية التي تبدأ بجمع البيانات.
البيانات المستهدفة
يستهدف CrashStealer مجموعة واسعة من المعلومات الحساسة، بما في ذلك كلمات المرور المحفوظة في المتصفحات، وبيانات المحفظة الرقمية للعملات المشفرة، وملفات النظام الحساسة، وسجل المتصفح، وبيانات الجلسات. كما يمكنه التقاط لقطات شاشة وتسجيل ضغطات المفاتيح.
كيفية الحماية
ينصح الخبراء مستخدمي macOS بتحديث نظام التشغيل والتطبيقات باستمرار، وتجنب تحميل البرامج من مصادر غير موثوقة، واستخدام برامج مكافحة الفيروسات المتخصصة. كما يُوصى بتفعيل ميزة FileVault لتشفير البيانات، واستخدام كلمات مرور قوية وفريدة لكل حساب.
يُعد CrashStealer مثالاً على التطور المستمر في تقنيات البرامج الضارة التي تستهدف منصة macOS، مما يستدعي اليقظة المستمرة من المستخدمين والمؤسسات على حد سواء.
زيروتايب لتصميم التطبيقات

