أثناء مراجعة اكتشافات قواعد YARA الداخلية الخاصة بها، تدعي مختبرات التهديدات في Jamf أنها لاحظت عملية سرقة موقعة وموثقة لم تتبع سلاسل التنفيذ النموذجية التي شوهدت في الماضي.
وفقًا لـ 23pds من Slowmist، فإن هذا السارق هو نسخة جديدة من نسخة MacSync المشهورة بتجاوز أمان macOS.
يدّعي سلو ميست أن معلومات المستخدم قد سُرقت بالفعل
في منشور على موقع X، ادعى مسؤول أمن المعلومات الرئيسي في Slowmist، 23pds، أن هناك نسخة جديدة من MacSync تتجاوز نظام الأمان الخاص ببوابة macOS، وأنها قد اختطفت بالفعل معلومات العديد من المستخدمين.
بحسب موقع 23pds، يستخدم هذا النوع من البرامج الخبيثة تقنيات مثل تضخيم الملفات، والتحقق من اتصال الشبكة، وبرامج التدمير الذاتي بعد التنفيذ، وذلك لتجنب اكتشافه. ويُقال إنه قادر على سرقة بيانات حساسة مثل سلاسل مفاتيح iCloud، وكلمات مرور المتصفح، ومحافظ العملات الرقمية.
جاء التحذير مرفقاً بمدونة من مختبرات جامف للتهديدات، تفيد بأن هذا ليس أول اتصال لها مع ماك سينك.
يُقال إن برمجية سرقة المعلومات الخبيثة التي تستهدف نظام macOS ظهرت لأول مرة في أبريل 2025 تحت اسم "Mac.C"، وقد طوّرها جهة تهديد تُعرف باسم "Mentalpositive". ثم أُعيد تسميتها إلى MacSync بعد فترة وجيزة، وسرعان ما اكتسبت tracبين مجرمي الإنترنت.
لحماية نفسك من ذلك، قم بتنزيل التطبيقات فقط من متجر تطبيقات Mac أو مواقع المطورين الموثوقة، وحافظ على تحديث نظام macOS والتطبيقات، واستخدم أدوات مكافحة الفيروسات/أمان نقاط النهاية ذات السمعة الطيبة التي تكتشف تهديدات macOS، وكن حذرًا من ملفات .dmg أو المثبتات غير المتوقعة، وخاصة تلك التي تعد بأدوات متعلقة بالعملات المشفرة أو أدوات المراسلة.
هل يوجد برنامج خبيث جديد باسم MacSync؟
تشير التقارير إلى أن العينة المذكورة تشبه إلى حد كبير نسخًا سابقة من برمجية MacSync Stealer الخبيثة، التي تزداد نشاطًا، إلا أنها خضعت لتعديلات في تصميمها. وتختلف هذه العينة عن نسخ MacSync Stealer السابقة التي تعتمد بشكل أساسي على تقنيات السحب والإفلات في الطرفية أو تقنيات مشابهة لـ ClickFix، إذ أنها تستخدم أسلوبًا أكثر خداعًا وتلقائية.
تسليم العينة كتطبيق Swift موقّع وموثق ضمن صورة قرص باسم zk-call-messenger-installer-3.9.2-lts.dmg، ويتم توزيعها عبر https://zkcall.net/download.
هذا يُلغي الحاجة إلى أي تفاعل مباشر مع الطرفية. بدلاً من ذلك، يقوم برنامج التثبيت باسترجاع نص برمجي مُشفّر من خادم بعيد وتنفيذه عبر ملف تنفيذي مساعد مبني بلغة Swift
لاحظ مختبر Jamf Threat Labs أيضًا أن برنامج Odyssey لسرقة المعلومات يتبنى أساليب توزيع مماثلة في الإصدارات الحديثة. وقد أعربوا عن استغرابهم من وجود أمر فتح الملف بالنقر بزر الماوس الأيمن المألوف في العينة الجديدة، على الرغم من أن الملف التنفيذي موقّع ولا يتطلب هذه الخطوة.
وأضافوا: "بعد فحص ملف Mach-O الثنائي، وهو إصدار عالمي، تأكدنا من أنه موقّع رقميًا وموثق. ويرتبط التوقيع بمعرف فريق المطورين GNJLS3UYZ4".
لقد تأكدوا من التحقق من تجزئات دليل التعليمات البرمجية مقابل قائمة الإلغاء الخاصة بشركة Apple، وفي وقت التحليل، قالوا إنه لم يتم إلغاء أي منها.
ومن الملاحظات الجديرة بالذكر أيضًا الحجم الكبير غير المعتاد لصورة القرص (25.5 ميجابايت)، والذي قالوا إنه يبدو أنه تم تضخيمه بواسطة ملفات وهمية مضمنة داخل حزمة التطبيق.
أثناء التحليل، تم رصد بعض العينات المرفوعة إلى VirusTotal بواسطة محرك مكافحة فيروسات واحد فقط، بينما تم رصد عينات أخرى بواسطة ما يصل إلى ثلاثة عشر محركًا. بعد التأكد من استخدام مُعرّف فريق المطورين لتوزيع برمجيات خبيثة، أبلغ مختبر Jamf Threat Labs شركة Apple بذلك. ومنذ ذلك الحين، تم إلغاء الشهادة المرتبطة بها.
