الأمن السيبراني
#Atomic_macOS_infostealer
#backdoor
Atomic macOS infostealer يضيف backdoor لهجمات مستمرة
اكتشف محلل البرمجيات الخبيثة إصدارًا جديدًا من Atomic macOS infostealer (المعروف أيضًا باسم 'AMOS') الذي يأتي مع backdoor، مما يمنح المهاجمين وصولاً مستمرًا إلى الأنظمة المخترقة.
تسمح المكونات الجديدة بتنفيذ أوامر عن بُعد، وتبقى فعالة بعد إعادة التشغيل، وتسمح بالحفاظ على السيطرة على الأجهزة المصابة إلى أجل غير مسمى.
حللت وحدة الأمن السيبراني في MacPaw، Moonlock، backdoor في برمجيات Atomic بعد نصيحة من الباحث المستقل g0njxa، الذي يراقب نشاطات infostealer.
يقول الباحثون: "لقد وصلت حملات AMOS بالفعل إلى أكثر من 120 دولة، مع كون الولايات المتحدة وفرنسا وإيطاليا والمملكة المتحدة وكندا من بين الأكثر تأثرًا".
"النسخة التي تحتوي على backdoor من Atomic macOS Stealer لديها الآن القدرة على الحصول على وصول كامل إلى آلاف أجهزة Mac في جميع أنحاء العالم."
تطور Atomic stealer
تم توثيق Atomic stealer لأول مرة في أبريل 2023، وهو عملية برمجيات كخدمة (MaaS) تروّج على قنوات Telegram مقابل اشتراك مرتفع قدره 1000 دولار شهريًا. يستهدف ملفات macOS، وإضافات العملات المشفرة، وكلمات مرور المستخدمين المخزنة على متصفحات الويب.
في نوفمبر 2023، دعم أول توسيع لحملات 'ClearFake' على macOS، بينما في سبتمبر 2024، تم رصده في حملة واسعة النطاق من قبل مجموعة الجريمة الإلكترونية 'Marko Polo'، التي نشرته على أجهزة Apple.
تقرير Moonlock أن Atomic قد انتقل مؤخرًا من قنوات التوزيع الواسعة مثل مواقع البرمجيات المقرصنة إلى التصيد المستهدف الموجه نحو أصحاب العملات المشفرة، بالإضافة إلى دعوات مقابلات العمل للمستقلين.
تأتي النسخة التي تم تحليلها من البرمجيات الخبيثة مع backdoor مدمج، وتستخدم LaunchDaemons للبقاء فعالة بعد إعادة التشغيل على macOS، وتستخدم تتبع الضحايا المعتمد على الهوية، وبنية تحتية جديدة للتحكم بالأوامر.
Backdoor في جهاز Mac الخاص بك
الملف التنفيذي الأساسي لـ backdoor هو ثنائي يُدعى '.helper'، يتم تنزيله وحفظه في الدليل المنزلي للضحية كملف مخفي بعد الإصابة، كما يقول الباحثون.
تشغل سكربت تغليف دائم يُدعى '.agent' (أيضًا مخفي) '.helper' في حلقة كالمستخدم المسجل، بينما يضمن LaunchDaemon (com.finder.helper) الذي تم تثبيته عبر AppleScript أن '.agent' يتم تنفيذه عند بدء تشغيل النظام.
يتم تنفيذ هذا الإجراء بامتيازات مرتفعة باستخدام كلمة مرور المستخدم المسروقة خلال مرحلة الإصابة الأولية تحت ذريعة كاذبة. يمكن للبرمجيات الخبيثة بعد ذلك تنفيذ الأوامر وتغيير ملكية PLIST لـ LaunchDaemon إلى 'root:wheel' (مستوى المستخدم الخارق على macOS).
يسمح backdoor للمهاجمين بتنفيذ الأوامر عن بُعد، وتسجيل ضغطات المفاتيح، وإدخال حمولات إضافية، أو استكشاف إمكانيات الحركة الجانبية.
للتجنب من الكشف، يتحقق backdoor من بيئات الحماية أو الآلات الافتراضية باستخدام 'system_profiler' ويتميز أيضًا بتشفير السلاسل.
يظهر تطور برمجيات Atomic أن مستخدمي macOS أصبحوا أهدافًا أكثر جاذبية وأن الحملات الخبيثة الموجهة إليهم أصبحت أكثر تعقيدًا.
تقرير ميزانية CISO لعام 2026
إنه موسم الميزانية! شارك أكثر من 300 من قادة الأمن وCISOs كيف يخططون، وينفقون، ويعطون الأولوية للعام المقبل. يجمع هذا التقرير رؤاهم، مما يسمح للقراء بمقارنة الاستراتيجيات، وتحديد الاتجاهات الناشئة، ومقارنة أولوياتهم مع اقترابهم من عام 2026.
تعرف على كيفية تحويل القادة البارزين للاستثمار إلى تأثير قابل للقياس.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!