برنامج خبيث جديد لنظام Mac يُدعى 'MacSync' يسرق محافظ العملات المشفرة

حذّرت شركة SlowMist المتخصصة في أمن البلوكشين من برنامج خبيث جديد وشديد الخطورة لسرقة المعلومات على نظام macOS يُعرف بـ "MacSync Stealer" (v1.1.2). 

تستهدف حملة البرمجيات الخبيثة النشطة تحديداً مستخدمي Apple لاستنزاف محافظ العملات المشفرة وسرقة بيانات اعتماد البنية التحتية شديدة الحساسية.

أسلوب العمل 

يستخدم الفاعلون الخبيثون أساليب هندسة اجتماعية خادعة لتجاوز دفاعات المستخدمين. 

يستخدم البرنامج الخبيث نوافذ حوار نظام AppleScript مزيفة تحاكي مطالبات كلمة مرور macOS الشرعية لسرقة بيانات اعتماد تسجيل الدخول الخاصة بالمستخدم.

يقوم البرنامج الخبيث بسرقة بيانات الضحية بصمت في الخلفية بمجرد أن تقع في الفخ. يعرض MacSync Stealer رسالة خطأ مزيفة "غير مدعوم" فور اكتمال استخراج البيانات لتفادي إثارة أي شكوك. تجعل هذه الحيلة الأمر يبدو وكأن التطبيق فشل ببساطة في الإطلاق.

إلى جانب مستخدمي العملات المشفرة، يستهدف البرنامج الخبيث بيانات اعتماد المتصفح، وسلاسل المفاتيح لنظام macOS، ومفاتيح البنية التحتية الحيوية، بما في ذلك بيانات اعتماد SSH وAWS وKubernetes (K8s)

حوادث أخرى متعلقة بنظام MacOS 

هذه ليست حادثة معزولة. فقد كشف فريق أمن Bybit للتو عن حملة برمجيات خبيثة تستهدف مستخدمي macOS الباحثين عن Claude Code.

كشف مركز Microsoft لاستخبارات التهديدات مؤخراً عن حملة موجهة بشكل كبير على نظام macOS نفّذها "Sapphire Sleet"، وهو جهة تهديد كورية شمالية معروفة ترعاها الدولة. يستخدم Sapphire Sleet هندسة اجتماعية متقدمة لانتحال صفة تحديثات برامج macOS الشرعية وسرقة محافظ العملات المشفرة. 

تجدر الإشارة أيضاً إلى برنامج "Infinity Stealer" الخبيث، الذي أظهر كيف يتم تكييف أساليب الهجوم المتمحورة حول Windows لنظام macOS. يستخدم تقنية "ClickFix" لعرض صفحة CAPTCHA مزيفة على الضحايا. كما حددت شركة الأمن السيبراني SOC Prime برنامج "MioLab"، وهو برنامج خبيث لسرقة المعلومات على macOS موزَّع تجارياً وُبني صراحةً لاستهداف ضحايا عالية القيمة، من بينهم حاملو الكريبتو.