هشدار درباره بدافزار جدید در macOS که به دنبال خالی کردن کیف پولهای ارز دیجیتال است
- کاربران اپل که ارزهای دیجیتال را ذخیره یا مدیریت میکنند، با تهدید جدیدی در زمینه امنیت سایبری مواجه هستند. محققان آزمایشگاه تهدید Jamf، که تیم تحقیقاتی امنیت سایبری است، یک کمپین را کشف کردند که نسخهای جعلی از برنامه متن باز Maccy را توزیع میکند با هدف نصب PamStealer، بدافزاری طراحی شده برای سرقت رمزهای عبور، اعتبارنامهها و کلیدهای کیف پولهای ارز دیجیتال.
طبق گزارش این شرکت، مهاجمان از وبسایتی استفاده میکنند که شبیه وبسایت رسمی Maccy، یک مدیریت کلیپ بورد رایگان برای macOS است، تا قربانیان را متقاعد کنند که یک تصویر دیسک مخرب را دانلود کنند. با باز کردن فایل، این فایل دستورالعملهایی برای اجرای آن از ویرایشگر اسکریپتهای اپل نشان میدهد، در حالی که کد مخرب که عفونت را آغاز میکند، پنهان میماند.
پس از ورود به سیستم، بدافزار رمز عبور ورود کاربر را از طریق ماژولهای احراز هویت قابل اتصال (PAM) macOS بررسی میکند. سپس، یک بار دوم را که با استفاده از ابزارهای بومی سیستمعامل توسعه یافته است، دانلود میکند، تکنیکی که به آن اجازه میدهد احتمال شناسایی توسط برنامههای امنیتی را کاهش دهد.
بدافزار همچنین یک کلید را از اطلاعات دستگاه، مانند معماری پردازنده، تنظیمات منطقهای، توزیع صفحه کلید و منطقه زمانی تولید میکند. با این کلید، یک تنظیمات رمزگذاری شده را که شامل دستورالعملهای لازم برای ادامه حمله است، باز میکند.
اگر عفونت موفقیتآمیز باشد، یک بدافزار میتواند رمزهای عبور ذخیره شده در مرورگرها، دادههای کیچین macOS، اطلاعات کپی شده در کلیپ بورد و اعتبارنامههای مربوط به کیف پولهای ارز دیجیتال را سرقت کند. علاوه بر این، در دستگاه پایداری ایجاد میکند و دادههای سرقت شده را از طریق ارتباطات رمزگذاری شده به یک سرور از راه دور ارسال میکند.
به عنوان بخشی از حمله، برنامه همچنین یک پنجره جعلی به یک مرورگر فایل نشان میدهد که درخواست دسترسی کامل به دیسک را دارد. نکته خاص این است که این هشدار ممکن است تا ۴۰ دقیقه پس از نصب ظاهر شود، که تشخیص درخواست توسط کاربر را با دانلود اولیه دشوار میکند. اگر کاربر اجازه دهد، بدافزار به اطلاعات محافظت شده، از جمله ایمیلها، پیامها و نسخههای پشتیبان Time Machine دسترسی پیدا میکند.
این شرکت توضیح داد که این نوع کمپینها عمدتاً به مهندسی اجتماعی وابسته هستند. به گفته جارون برادلی، مدیر آزمایشگاه تهدید Jamf، مجرمان سایبری در پلتفرمهایی مانند Google Ads و X تبلیغاتی خریداری میکنند تا کاربران را به صفحات جعلی هدایت کنند که به نظر میرسد برنامههای قانونی را ارائه میدهند. این شرکت افزود که به تازگی یک تبلیغ دیگر در X شناسایی کرده است که یک نسخه از بدافزار Atomic Stealer را از طریق یک حساب تأیید شده توزیع میکند و اعتبار این فریب را افزایش میدهد.
اگرچه این شرکت اعلام کرد که هنوز شواهدی مبنی بر اینکه PamStealer به طور فعال استفاده میشود پیدا نکرده است، اما یافتههای خود را به اپل اطلاع داده است. تا کنون، این شرکت هیچ نظری عمومی در مورد این موضوع ارائه نکرده است.
محققان نتیجهگیری کردند که این کمپین نشاندهنده یک روند رو به رشد در میان مجرمان سایبری است: پنهان کردن بدافزار به عنوان نرمافزار قانونی و استفاده از پلتفرمهای معتبر برای توزیع آن. گزارشی از شرکت تحقیقاتی TRM Labs تأکید کرد که در سال ۲۰۲۶ تعداد حملات افزایش یافته و خسارات کل به ۹۷۲ میلیون دلار رسیده است، همانطور که CriptoNoticias اشاره کرده است.
برای کاربران ارزهای دیجیتال، این تهدیدات نمایانگر یک خطر مهم هستند، زیرا سرقت اعتبارنامهها یا کلیدهای یک کیف پول میتواند منجر به از دست دادن غیرقابل برگشت وجوه دیجیتال شود.


