يعتقد العديد من مستخدمي Apple أن نظام التشغيل macOS آمن للغاية بحيث لا يمكن أن تضرهم التهديدات الإلكترونية، لذلك لا داعي للقلق بشأن حماية أجهزتهم. ومع ذلك، فإن هذا بعيد كل البعد عن الواقع: على الرغم من وجود عدد أقل من البرامج الضارة لنظام التشغيل macOS، إلا أنها لا تزال أكثر شيوعًا مما يعتقد مالكو أجهزة Apple.
نناقش في هذه التدوينة التهديدات الحالية التي تواجه مستخدمي نظام التشغيل macOS وكيفية حماية جهاز Mac بشكل فعال. لتوضيح حقيقة وجود فيروسات لنظام التشغيل macOS، سنلقي نظرة على ثلاث دراسات حديثة عن العديد من عائلات البرامج الضارة التي تم نشرها خلال الأسابيع القليلة الماضية.
مجموعة BlueNoroff تهاجم مستخدمي نظام macOS وتسرق العملات المشفرة
في أواخر أكتوبر 2023، اكتشف باحثونا فيروس حصان طروادة جديد لنظام التشغيل macOS يُعتقد أنه مرتبط بمجموعة BlueNoroff، “الجناح التجاري” لمجموعة Lazarus APT العاملة في كوريا الشمالية. وتتخصص هذه المجموعة الفرعية في الهجمات المالية وتركز بشكل خاص على شيئين: أولاً، الهجمات على نظام SWIFT – بما في ذلك السرقة سيئة السمعة لبنك بنغلاديش المركزي – وثانيًا، سرقة العملات المشفرة من المؤسسات والأفراد.
يتم توزيع أداة تنزيل Trojan لنظام macOS المكتشفة داخل أرشيفات ضارة. وتتخفى في شكل مستند PDF باسم “Crypto-assets and their risks for financial stability”، مع أيقونة تحاكي معاينة هذا المستند.
بمجرد أن ينقر المستخدم على فيروس حصان طروادة (المتنكر كملف PDF)، يتم تنفيذ برنامج نصي يقوم بالفعل بتنزيل مستند PDF المقابل من الإنترنت ويفتحه. لكن، بالطبع، هذا ليس كل ما يحدث. وتكون المهمة الرئيسية لفيروس حصان طروادة هي تنزيل فيروس آخر، والذي يجمع معلومات عن النظام المصاب، ويرسلها إلى C2، ثم ينتظر أمرًا لتنفيذ أحد الإجراءين المحتملين: الحذف الذاتي أو الحفظ في ملف وتنفيذ تعليمات برمجية ضارة أُرسلت كاستجابة من الخادم.
فيروس حصان طروادة الوكيل في البرامج المقرصنة لنظام التشغيل macOS
في أواخر نوفمبر 2023، اكتشف باحثونا مثيلاً آخر للبرامج الضارة التي تهدد مستخدمي أجهزة Mac، وهو فيروس حصان طروادة وكيل، والذي يتم توزيعه جنبًا إلى جنب مع البرامج المقرصنة لنظام التشغيل macOS. وعلى وجه التحديد، تمت إضافة فيروس حصان طروادة هذا إلى ملفات PKG الخاصة ببرامج تحرير الفيديو المقرصنة، وأدوات استعادة البيانات، والأدوات المساعدة للشبكة، ومحولات الملفات، والعديد من البرامج الأخرى. ويمكن العثور على القائمة الكاملة لبرامج التثبيت المصابة التي اكتشفها خبراؤنا في نهاية التقرير المنشور على Securelist.
كما ذكرنا سابقًا، تنتمي هذه البرامج الضارة إلى فئة فيروسات حصان طروادة الوكيلة – وهي برامج ضارة تقوم بإعداد خادم وكيل على الكمبيوتر المصاب، مما يؤدي بشكل أساسي إلى إنشاء مضيف لإعادة توجيه حركة مرور الإنترنت. وبعد ذلك، يستطيع مجرمو الإنترنت استخدام هذه الأجهزة المصابة لإنشاء شبكة مدفوعة من الخوادم الوكيلة، وكسب المال من الأشخاص الذين يبحثون عن هذه الخدمات.
كبديل لذلك، قد يستخدم مالكو فيروس حصان طروادة أجهزة الكمبيوتر المصابة مباشرة لتنفيذ أنشطة إجرامية باسم الضحية، سواء كان ذلك مهاجمة مواقع الويب أو الشركات أو المستخدمين الآخرين، أو شراء أسلحة أو مخدرات أو سلع أخرى غير قانونية.
Atomic Stealer في تحديثات مستعرض Safari المزيفة
أيضًا في نوفمبر 2023، تم اكتشاف حملة خبيثة جديدة لنشر فيروس حصان طروادة آخر لنظام التشغيل macOS، والمعروف باسم Atomic وينتمي إلى فئة برامج السرقة. ويبحث هذا النوع من البرامج الضارة عن جميع أنواع المعلومات القيمة الموجودة على كمبيوتر الضحية ويستخرجها ويرسلها إلى منشئيها، خاصة البيانات المحفوظة في المستعرضات. وتعد أسماء تسجيل الدخول وكلمات المرور وتفاصيل بطاقات البنك ومفاتيح محفظة العملات المشفرة والمعلومات الحساسة المماثلة ذات قيمة خاصة لبرامج السرقة.
تم اكتشاف ووصف فيروس Atomic Trojan لأول مرة في مارس 2023. لكن الجديد هو أن المهاجمين بدأوا الآن في استخدام تحديثات وهمية لمستعرضي Safari وChrome لنشر فيروس Atomic Trojan. ويتم تنزيل هذه التحديثات من الصفحات الخبيثة التي تحاكي بشكل مقنع مواقع الويب الأصلية لشركتي Apple وGoogle.
بمجرد تشغيل فيروس Atomic Trojan على النظام فإنه يحاول سرقة المعلومات التالية من كمبيوتر الضحية:
- ملفات تعريف الارتباط
- أسماء تسجيل الدخول وكلمات المرور وتفاصيل بطاقات البنك المخزنة في المستعرض
- كلمات المرور من نظام تخزين كلمات مرور على نظام macOS (سلسلة المفاتيح)
- الملفات المخزنة على محرك الأقراص الثابت
- البيانات المخزنة من أكثر من 50 ملحقًا مشهورًا للعملات المشفرة
ثغرات الهجوم الفوري في نظام التشغيل macOS
للأسف، حتى إذا لم تقم بتنزيل أي ملفات مشبوهة، فإنك تتجنب فتح المرفقات من مصادر غير معروفة، وتمتنع عمومًا عن النقر على أي شيء مشبوه، وهذا لا يضمن أمانك. ومن المهم أن تتذكر أن أي برنامج يحتوي دائمًا على ثغرات أمنية يمكن للمهاجمين استغلالها لإصابة الجهاز، والتي تتطلب القليل من الإجراءات النشطة أو لا تتطلب أي إجراء نشط على الإطلاق من المستخدم. ولا يعد نظام التشغيل macOS استثناءً من هذه القاعدة.
في الآونة الأخيرة، تم اكتشاف ثغرتين من ثغرات الهجوم الفوري في مستعرض Safari – ووفقًا لإعلان شركة Apple، كان مجرمو الإنترنت يستغلونهما بالفعل حتى الوقت الذي تم اكتشافهما فيه. ومن خلال جذب الضحية ببساطة إلى صفحة ويب ضارة، يستطيع المهاجمون إصابة أجهزتهم دون أي إجراء إضافي من جانب المستخدم، وبالتالي السيطرة على الجهاز والقدرة على سرقة البيانات منه. وتنطبق هذه الثغرات الأمنية على جميع الأجهزة التي تستخدم مستعرض Safari، مما يشكل تهديدًا لكل من مستخدمي نظام التشغيل iOS/iPadOS ومالكي أجهزة Mac.
هذا سيناريو شائع: نظرًا لأن أنظمة تشغيل Apple تشترك في العديد من المكونات، وفي الغالب لا يقتصر وجود الثغرات الأمنية على أحد أنظمة تشغيل الشركة فحسب، بل توجد فيها جميعًا. وبالتالي، فإن هذه حالة تتعرض فيها أجهزة Mac للخيانة بسبب شعبية iPhone: يعد مستخدمو iOS الأهداف الأساسية، لكن يمكن استخدام هذه الثغرات الأمنية بسهولة لمهاجمة نظام التشغيل macOS.
تم اكتشاف ما مجموعه 19 ثغرة أمنية في أنظمة تشغيل Apple في عام 2023 التي من المعروف أن المهاجمين سبق لهم استغلالها بشكل نشط. ومن بين هذه الثغرات الأمنية، أثرت 17 منها على مستخدمي نظام التشغيل macOS، بما في ذلك أكثر من اثنتي عشرة ثغرة مصنفة كحالات عالية الخطورة، وواحدة مصنفة كحرجة.
التهديدات الأخرى وكيفية حماية جهاز Mac
من المهم أن نتذكر أن هناك العديد من التهديدات الإلكترونية التي لا تعتمد على نظام التشغيل لكنها لا تقل خطورة عن البرامج الضارة. على وجه الخصوص، انتبه إلى التهديدات التالية:
- التصيد الاحتيالي ومواقع الويب المزيفة. تعمل رسائل البريد الإلكتروني ومواقع الويب الخاصة بالتصيد الاحتيالي بالطريقة ذاتها لكل من مستخدمي نظام Windows ومالكي أجهزة Mac. وللأسف، لا يمكن التعرف بسهولة على جميع رسائل البريد الإلكتروني ومواقع الويب المزيفة، لذا فحتى المستخدمين ذوي الخبرة غالبًا ما يواجهون خطر سرقة بيانات اعتماد تسجيل الدخول الخاصة بهم.
- تهديدات الويب، بما في ذلك أدوات استخلاص البيانات على الويب. ولا يمكن للبرامج الضارة أن تصيب جهاز المستخدم فحسب، بل يمكن أن تصيب الخادم الذي يتصل به أيضًا. على سبيل المثال، يخترق المهاجمون في الغالب مواقع الويب ذات الحماية الضعيفة، خاصة المتاجر عبر الإنترنت، ويقومون بتثبيت أدوات استخلاص البيانات على الويب عليها. وقد صُممت هذه الوحدات البرمجية الصغيرة لاعتراض وسرقة بيانات البطاقات البنكية التي يدخلها الزوار.
- ملحقات المستعرض الخبيثة. يتم تثبيت وحدات البرامج الصغيرة هذه مباشرة في المستعرض وتعمل من خلاله، لذا فهي لا تعتمد على نظام التشغيل المستخدم. وعلى الرغم من أنها تبدو غير ضارة، إلا أنها يمكن أن تفعل الكثير: قراءة محتوى جميع الصفحات التي تم زيارتها، واعتراض المعلومات التي يدخلها المستخدم (كلمات المرور، وأرقام البطاقات، ومفاتيح محافظ العملات المشفرة)، وحتى استبدال محتوى الصفحة المعروضة.
- اعتراض حركة المرور وهجمات الوسيط (MITM). تستخدم معظم مواقع الويب الحديثة اتصالات مشفرة (HTTPS)، لكن لا يزال بإمكانك في بعض الأحيان العثور على مواقع HTTP حيث يمكن اعتراض تبادل البيانات. ويستخدم مجرمو الإنترنت مثل هذا الاعتراض لشن هجمات الوسيط، وتقديم صفحات مزيفة أو مصابة للمستخدمين بدلاً من الصفحات الشرعية.
لحماية جهازك وحسابات الخدمة عبر الإنترنت، والأهم من ذلك، المعلومات القيمة التي تحتوي عليها، من الضروري استخدام الحماية الشاملة لكل من أجهزة كمبيوتر Mac وiPhone / iPad. ويجب أن تكون هذه الحماية قادرة على مواجهة النطاق الكامل للتهديدات – على سبيل المثال، حلول مثلKaspersky Premium ، التي تم تأكيد فعاليتها من خلال العديد من الجوائز من مختبرات الاختبار المستقلة.