رافي لاكشمانان13 يوليو 2026أمن نقطة النهاية / الجرائم الإلكترونية

قام باحثو الأمن السيبراني بوضع علامة على أداة جديدة لسرقة معلومات نظام التشغيل MacOS تسمى CrashStealer قادرة على جمع البيانات الحساسة من الأنظمة المخترقة.

على عكس برامج سرقة المعلومات الأخرى المبنية على برامج AppleScript أو الأغلفة المستندة إلى Objective-C، يتم تطبيق CrashStealer في لغة C++ الأصلية، وفقًا لـ Jamf Threat Labs.

وقال الباحث الأمني ​​Thijs Xhaflaire في تقرير تمت مشاركته مع The Hacker News: “إنه يتحقق من صحة كلمة مرور تسجيل الدخول للضحية محليًا قبل الحصاد، ويجمع على نطاق واسع عبر المتصفحات ومحافظ العملات المشفرة ومديري كلمات المرور وسلسلة المفاتيح، ويشفر ما يجمعه باستخدام AES-GCM قبل التسلل عبر libcurl، ويستمر عن طريق النسخ وإعادة التوقيع نفسه”.

يقال إن CrashStealer يتم توزيعه عن طريق قطارة موقعة وموثقة من Apple يتم توزيعها كملف صورة قرص يسمى “Werkbit.app”. نظرًا لأن كلا من صورة القرص والملف الثنائي موثقان ويحملان معرف مطور صالحًا (“Emil Grigorov (WWB7JA7AQV)”)، فإنه يجتاز اختبارات Gatekeeper.

تنشأ صورة القرص نفسها من المجال “werkbit[.]io”، والذي تم تسجيله في يونيو 2026. وفي تطور مثير للاهتمام، يتم إجراء التنزيل خلف رقم التعريف الشخصي للاجتماع، مما يعني أن برنامج التثبيت يتم تقديمه فقط لزوار الموقع الذين يصلون بالرمز الصحيح بدلاً من الجميع.

يشير اكتشاف النطاقات الإضافية والبنية التحتية الخلفية المشتركة المرتبطة بنفس العملية إلى كون CrashStealer جزءًا من حملة أكبر متعددة المنصات.

بمجرد التثبيت، تقدم صورة القرص للمستخدم شاشة إعداد التثبيت التي ترشده إلى النقر بزر الماوس الأيمن فوق التطبيق واختيار “فتح” لحمله على تشغيله. بمجرد إطلاقه، يتصل الملف القابل للتنفيذ “veltod” بمستودع GitHub (“github.com/mgothiclove”) لاسترداد ملف يسمى “sys.cache”.

يتم بعد ذلك استخدام الملف لاستخراج أمر تجعيد وسحب برنامج نصي لـ Shell، والذي يعمل بمثابة أداة تنزيل لجلب الحمولة التالية (“CrashReporter.dmg”) وتنظيمها وحفظها في الدليل “/tmp”.

تثبت البرمجيات الخبيثة، عند تنفيذها، استمراريتها كـ LaunchAgent، وتقاوم التحليل، وتقدم مطالبة بكلمة المرور وتتحقق من صحة بيانات الاعتماد المدخلة محليًا، وتفتح سلسلة مفاتيح تسجيل الدخول باستخدام كلمة المرور التي تم التحقق من صحتها، وتسرد أدوات الأمان والتحليل المثبتة، قبل الشروع في جمع بيانات المتصفح، وملحقات محفظة العملة المشفرة، وبيانات مدير كلمات المرور، ومواد سلسلة المفاتيح.

القائمة الكاملة للبيانات التي تم حصادها أدناه –

  • بيانات الاعتماد من متصفحات عائلة Chromium، بما في ذلك Google Chrome وBrave وMicrosoft Edge وOpera وOpera GX وVivaldi وChromium وNaver Whale
  • ما يقرب من 80 ملحقًا لمحفظة العملات المشفرة، بما في ذلك MetaMask وPhantom وCoinbase وTrust Wallet وRabby وOKX Wallet وExodus وKeplr وSolflare وBackpack.
  • 14 مديرًا لكلمات المرور، بما في ذلك 1Password وBitwarden وLastPass وDashlane وKeeper وKeePassXC وNordPass وEnpass وRoboForm
  • ملف من ~/Documents و ~/Downloads الدلائل

يتم بعد ذلك تجميع البيانات المجمعة في أرشيف ZIP وإخراجها إلى خادم يتحكم فيه المهاجم (“179.43.166″[.]242 “).

قال Jamf: “تظهر سلسلة التسليم الخاصة بـ CrashStealer اهتمامًا حقيقيًا: فبدلاً من الإغراء العاري وغير الموقع، يواجه المشغلون الهجوم بقطارة موقعة وموثقة تقوم بمسح برنامج Gatekeeper قبل جلب الحمولة وإعادة التوقيع عليها وإطلاقها بهدوء”.

“ما يميزه عن حشد سرقة السلع هو أقل ما يجمعه من كيفية إنشائه: تشفير AES-GCM من جانب العميل للملفات المجمعة، والتركيز على مقاومة التحليل من خلال تسطيح تدفق التحكم، والسلاسل المشفرة والطبقات المضادة لتصحيح الأخطاء.”

شاركها.
اترك تعليقاً