قام باحثو الأمن السيبراني بوضع علامة على أداة جديدة لسرقة معلومات نظام التشغيل MacOS تسمى بامستيلر يستخدم سلسلة من الحيل الذكية لإصابة الأنظمة وسحب البيانات الحساسة.
يتم توزيع برنامج السرقة، الذي اكتشفه Jamf Threat Labs، كملف AppleScript (.scpt) مجمع ينتحل شخصية Maccy، وهو مدير حافظة شرعي مفتوح المصدر. لقد تم تسميتها باسم PamStealer نظرًا لقدرتها على التحقق من صحة كلمة مرور تسجيل الدخول للضحية من خلال وحدات المصادقة القابلة للتوصيل لنظام التشغيل MacOS (PAM) قبل الاستيلاء عليها.
يتم تسليم البرامج الضارة على مرحلتين: برنامج AppleScript مجمع وموزع داخل صورة قرص مصممة لتنزيل حمولة متابعة وتنظيمها. الأداة الثانوية عبارة عن أداة سرقة معلومات قائمة على الصدأ قادرة على سرقة بيانات الاعتماد وجمع بيانات المتصفح والمثابرة والتسلل.
ناقل الوصول الأولي للبرامج الضارة هو موقع مشابه (“maccyapp[.]com”) الذي يحاكي Maccy (“maccy[.]app”). يقوم AppleScript (“Maccy.scpt”) الموجود داخل صورة القرص بتنفيذ أداة تنزيل JavaScript for Automation (JXA) قائمة بذاتها والتي تقوم بجلب الحمولة السارقة وتنظيمها باستخدام واجهات برمجة تطبيقات Objective-C الأصلية.
ما هو ملحوظ هنا هو أن البرنامج النصي، بمجرد تشغيله عبر محرر البرامج النصية، يعرض تعليمات لتشغيله باستخدام اختصار لوحة المفاتيح “⌘ + R” أو النقر فوق الزر “تشغيل” من محرر البرامج النصية، مما يتسبب في تنفيذ المنطق الخبيث المخفي في الملف الموجود أسفل كتلة كبيرة من الأسطر الفارغة.
وقال الباحث الأمني Thijs Xhaflaire: “من الجدير بالذكر أن هذا يعمل حتى عندما لا يزال الملف يحمل السمة com.apple.quarantine، وهو ما يجعل النهج جذابًا للمهاجمين مع استمرار Apple في تشديد برنامج Gatekeeper وTerminal”. “بالإضافة إلى المرحلة الثانية المستندة إلى Rust وسير عمل التقاط كلمة المرور الذي يتحقق من صحة بيانات الاعتماد محليًا من خلال PAM، فإن النتيجة هي سلسلة تنفيذ أكثر هدوءًا مما نلاحظه عادةً في سرقة السلع الأساسية لنظام التشغيل macOS.”
تتضمن قطارة AppleScript ميزات صديقة للبيئة تسمح بمواصلة التنفيذ فقط بعد أخذ بصمة المضيف وتحديد أنه يعمل على Apple Silicon. يقوم بذلك عن طريق استخلاص مفتاح يعتمد على بصمة الإصبع، والذي يتضمن تفاصيل مثل بنية وحدة المعالجة المركزية والإعدادات المحلية وتخطيط لوحة المفاتيح والمنطقة الزمنية، ثم استخدامه لفتح التكوين المشفر الذي يحتوي على عنوان URL للحمولة ومسار التثبيت.
في أجهزة Mac المستندة إلى Intel، يختلف مفتاح فك التشفير المشتق ويفشل في فك تشفير التكوين، مما يؤدي إلى إنهاء القطارة. يتجنب البرنامج النصي أيضًا التنفيذ في بيئات وضع الحماية أو بيئات التحليل، بالإضافة إلى الأنظمة التي تتوافق منطقتها الزمنية ولغة النظام وإدخال لوحة المفاتيح مع البلدان الواقعة في أوروبا الشرقية، مثل روسيا وبيلاروسيا وكازاخستان وأرمينيا وأذربيجان وقرغيزستان ومولدوفا وطاجيكستان وأوزبكستان وتركمانستان وجورجيا.
بمجرد اجتياز عمليات التحقق، يصل البرنامج النصي إلى الخادم الخارجي ويقوم بتنزيل ملف Mach-O الثنائي المكتوب بلغة Rust والذي يتنكر في شكل تطبيق Finder ويكون مسؤولاً عن جمع البيانات من متصفحات الويب وملحقات محفظة العملة المشفرة وiCloud Keychain ومحتوى الحافظة. يتم بعد ذلك تشفير المعلومات التي تم التقاطها وإخراجها إلى البنية التحتية التي يتحكم فيها المهاجم (“avenger-sync[.]Live”) عبر طلب HTTP صادر.
إلى جانب إجبار المستخدم على منحه حق الوصول الكامل إلى نظام الملفات، يقدم السارق مطالبة بكلمة مرور أصلية تجمع كلمة مرور نظام الضحية، ثم تتحقق من صحة كلمة المرور المدخلة عن طريق التحقق منها عبر PAM API. إذا فشل التحقق من الصحة، فإنه يطلب من المستخدم إعادة إدخال كلمة المرور، ويكرر الحلقة حتى يتم توفير كلمة المرور الصحيحة.
وقال جامف: “بمجرد التقاط كلمة مرور صالحة، يعرض السارق تنبيهًا مزيفًا ثانيًا: “Maccy تالف ولا يمكن فتحه. يجب عليك نقله إلى سلة المهملات،” وهي نسخة قريبة من رسالة Gatekeeper الأصلية”. “هذا فخ. بحلول الوقت الذي تظهر فيه، تكون الحمولة قد تم تشغيلها بالفعل، والتقطت كلمة المرور وتم تسجيلها للاستمرار، وبالتالي فإن الرسالة لا تؤدي إلا إلى جعل الضحية يتجاهل الإغراء ويفترض أن التنزيل قد تم كسره.”
يوجد أيضًا في نظام Rust الثنائي ذراع صغير 64 Mach-O ينتحل صفة إعدادات نظام macOS ويستخدم لإعداد الثبات.
دفع هذا التطوير Alex Rodionov، مطور Maccy، إلى تضمين تحذير على موقعه على الويب ومستودع GitHub، ينص على “احذر من مواقع الويب المزيفة التي تنتحل شخصية Maccy. المواقع الضارة (مثل maccyapp[.]صافي وmaccyapp[.]com) توزيع برامج ضارة متنكرة في صورة Maccy. Maccy.app هو الموقع الرسمي الوحيد.”
وقال جامف: “توضح هذه السلوكيات معًا كيف يستمر سارقو السلع الأساسية في نظام التشغيل macOS في التطور، واعتماد سلاسل تنفيذ أكثر هدوءًا وتطبيقات أصلية تقلل من فرص الاكتشاف التقليدية مع الحفاظ على توافقها مع ميزات نظام التشغيل macOS القياسية”.
