تسرق وتشفر ملفات وبيانات المستخدمين.. برامج ضارة تستهدف أجهزة Mac آبل

أظهر مجرمو الإنترنت براعتهم في استخدام تكتيكات مطورة تستهدف أجهزة ماك من آبل بـ برامج ضارة خطيرة، حيث اكتشف باحثون أمنيون من شركة Trend Micro برمجية خبيثة قادرة على تشفير الملفات وسرقة البيانات من على أجهزة Apple.

وبحسب ما ذكره موقع “scworld”، تقوم هذه البرامج الضارة بتغيير خلفية سطح المكتب للضحية إلى صورة تحمل اسم LockBit 2.0، بعد عملية تشفير الملفات، تظهر البرامج الضارة التي تستهدف أجهزة آبل في شكل برنامج فدية مرتبط بمجموعة القرصنة المعروفة باسم LockBit.

على الرغم من أن برامج الفدية على نظام التشغيل macOS لا تزال تمثل تهديدا محدودا حتى الآن، يعتقد باحثو SentinelOne أن عائلة جديدة من البرمجيات الضارة تعرف باسم 'macOS.NotLockBit' قد حققت تقدما ملحوظا، مما قد يجعلها تهديدا حقيقيا لأجهزة كمبيوتر آبل.

تشير التقارير إلى أن برنامج الفدية الجديد يتم كتابته بلغة البرمجة Go، التي طورتها جوجل، كما أنه يعمل بصيغة x86_64، مما يعني أنه مخصص للأجهزة المزودة بمعالج Intel أو لأجهزة آبل التي تستخدم محاكاة Rosetta.

يعتقد الباحثون في Sentinel أن هذه البرمجيات الضارة تتضمن أيضا مجموعة من ملفات Mach-O، وهي تنسيق ملفات خاص بالمكتبات والبرامج المستخدمة في macOS، تظل برامج NotLockBit الضارة قيد التطوير، ولم يتم اكتشافها بعد بشكل كامل.

وأشار الباحثون في SentinelOne إلى أن الهجمات الموجهة إلى أجهزة “ماكنتوش” قد بقيت في مرحلة إثبات المفهوم (PoC) ولم تنجح بشكل كبير في التسبب في أضرار حقيقية للنظام، وقد أطلقوا عليها اسم macOS.NotLockBit بسبب ارتباطها بتهديدات مختلفة تستغل اسم LockBit.

وذكر فيل ستوكس، الباحث الأول في Sentinel Labs، أن LockBit كان جزءا من واحدة من أكثر محاولات برامج الفدية، وتتمثل خطورة هذا التهديد في:

1. بنية تحتية متطورة: تختلف هذه البرمجيات الضارة عن البرامج الضارة الأخرى، إذ تمتلك بنية تحتية كاملة لتصفية وتخزين بيانات الضحايا، مما يعكس نوايا جدية للمهاجم.

2. التشفير غير المتماثل: تستخدم هذه البرامج نظام تشفير غير متماثل، مما يجعل من المستحيل تقريبا فك تشفير الملفات المغلقة دون مساعدة المهاجم.

3. تقنيات حماية متطورة: اعتمد مطور البرنامج الضار على سمعة LockBit لرفع مصداقيته، وربما توجيه الأنظار بعيدا عن الهجمات الخاصة به.

4. مؤشرات التطور المستمر: بينما تم اكتشاف التهديد قبل بدء حملته النشطة، إلا أن العينات التي تم تحليلها تعود إلى مايو 2024، مما يشير إلى يجب الاستمرار في مراقبة هذه البرمجيات.

بينما تشير التقديرات إلى أن برامج الفدية التي تستهدف نظام macOS، مثل MacRansom وEvilQuest، كانت نشطة في الماضي، يظهر NotLockBit قدرات تشفير متقدمة تعتمد على مفتاح RSA 2048، مما يجعل من الصعب فك تشفير البيانات دون المفتاح.