اكتشاف جديد: برمجية خبيثة Infiniti Stealer تستهدف أجهزة macOS عبر هجوم خداعي باستخدام ClickFix
كشف فريق Malwarebytes عن نوع جديد من البرمجيات الخبيثة يُطلق عليه اسم Infiniti Stealer، والذي يُهاجم أجهزة ماك بطريقة غير معتادة. يُعتقد أن هذا البرمجية تم تطويرها بطريقة تميزت عنها بشكل واضح، باستخدام تقنية تسمى Nuitka، لتحويل كود بايثون إلى ملفات تنفيذية مستقلة تعمل على نظام macOS.
طرق التوزيع والتهديدات
يتم توزيع هذه البرمجية الخبيثة من خلال هجمات تعتمد على أسلوب الهندسة الاجتماعية المعروف بـ ClickFix. حيث يُخدع الضحية من خلال عرض مشكلة مزعومة، ثم يُقدم له حلًا وهميًا. في هذه الحالة، يُوجه المستخدمون إلى موقع مزعوم يُدعى update-check[.]com، والذي يُحتمل أن يكون مرتبطًا برسائل تصيّد إلكتروني تدعي أن هناك تحديثات ضرورية لبرامجهم.
عند وصول المستخدمين إلى الموقع، يُعرض عليهم اختبار CAPTCHA يبدو بسيطًا في البداية، لكنه يتضمن خطوة إضافية تُعد علامة تحذير هامة: فتح Spotlight (أداة البحث المدمجة في macOS)، ثم تشغيل تطبيق Terminal، ولصق رمز معين يتم تقديمه. هذا الرمز يُشغل برنامجا صغيرا يُعرف بـ dropper، والذي بدوره يُنزل برمجية Infiniti Stealer.
الابتكار في التشفير والتنفيذ
ما يُميز هذا البرمجية هو أنها مكتوبة بلغة بايثون، ولكن تم تحويلها باستخدام أداة Nuitka إلى ملف تنفيذي مستقل يعمل على نظام macOS، مما يصعب على أدوات التحليل والكشف التقليدية التعرف عليها. فبدلاً من الاعتماد على برمجية بايثون عادية، تأتي هذه النسخة كبرنامج أصلي لنظام macOS، مما يُعقد مهمة اكتشافها وتحليلها.
تسريب البيانات وسرقتها
تُصمم Infiniti Stealer لسرقة مجموعة واسعة من البيانات الحساسة، خاصة البيانات المخزنة في متصفحات تعتمد على Chromium وFirefox، بما في ذلك كلمات المرور، وبيانات Keychain الخاصة بنظام macOS، وملفات المحافظ الرقمية للعملات المشفرة، بالإضافة إلى كلمات سرنصية مخزنة في ملفات تطوير البرامج مثل .env. كما تقوم أيضًا بالتقاط لقطات شاشة أثناء التشغيل وإرسالها إلى خادم يتحكم فيه المهاجمون.
الأسلوب الخادع والهجمات الاجتماعية
الهجمات عبر الهندسة الاجتماعية، خاصة رسائل التصيّد، تظل من أكثر الطرق استخدامًا من قبل المهاجمين. للتحصين من هذه الهجمات، يُنصح دائمًا بالحيطة والحذر عند التعامل مع رسائل البريد الإلكتروني أو الرسائل الفورية أو المكالمات الهاتفية غير المتوقعة. ينبغي التحقق من روابط الرسائل، والانتباه إلى الأخطاء الإملائية أو استبدال بعض الأحرف بأرقام، حيث يُستخدم ذلك غالبًا في عمليات التصيّد لتقليد المواقع الرسمية.
كما يُنصح بعدم فتح المرفقات إلا بعد التأكد من مصدرها، وتفعيل خاصية التحقق بخطوتين على حساباتك، وتحديث برامج الحماية بشكل منتظم.
ختامًا، يُعد Infiniti Stealer مثالًا على التطور المستمر في أدوات الهجوم الموجهة لنظام macOS، مما يتطلب من المستخدمين وأصحاب الأعمال توخي الحذر والتحديث المستمر لإجراءات الأمان للحماية من هذه التهديدات المتزايدة.