يتطلع المتسللون الكوريون الشماليون إلى مستخدمي Mac باستخدام تطبيق تشفير مصاب

جاكرتا - كشف باحثو الأمن السيبراني عن استراتيجية جديدة للمتسللين من كوريا الشمالية تستهدف مستخدمي أجهزة macOS من خلال تطبيقات التشفير المصابة بالبرمجيات الضارة. كشف تقرير صدر مؤخرا عن Jamf Threat Labs أن المتسللين استخدموا أداة تطوير التطبيق الشهيرة ، Flutter ، لإخفاء الرموز الضارة في تطبيقات macOS التي تبدو آمنة.

في تحقيقه ، وجد Jamf Threat Labs أن المتسللين أخفوا البرامج الضارة في تطبيق يبدو وكأنه لعبة بسيطة تسمى New Updates in Crypto Exchange. مع شاشة تخدع المستخدم ، تم تصميم التطبيق باستخدام Flutter ، وهي أداة تسمح للمطورين بإنشاء تطبيقات عبر الأنظمة الأساسية. ومع ذلك ، فإن الإعداد الفريد ل Flutter يسمح أيضا للمتسللين بإخفاء رموز ضارة يصعب اكتشافها.

في هذا التطبيق ، يتم تخزين الرموز الضارة في تنسيق مكتبة ديناميكية ، والتي يتم تحميلها بعد ذلك بواسطة جهاز Flutter عند تشغيل التطبيق. يجعل هذا الهيكل غير العادي للرمز الضار من الصعب اكتشافه بواسطة أنظمة الأمان القياسية ، مما يسمح للتطبيق بالمرور عبر طبقات مختلفة من فحوصات الأمان.

متغيرات البرامج الضارة عبر البرمجة

بالإضافة إلى التطبيق القائم على Flutter ، قام المتسللون الكوريون الشماليون أيضا بتطوير نوعين آخرين من البرامج الضارة تم تجميعهما باستخدام لغات برمجة Go و Python. تحتوي هذه المتغيرات الثلاثة على طريقة مشتركة ، وهي الاتصال بخدمات خارجية يزعم أن كوريا الشمالية تديرها. عند توصيلها ، يعطي الخادم أمرا إضافيا يسمح للمتسللين بالتحكم في جهاز الضحية عن بعد.

على سبيل المثال ، تتظاهر المتغيرات المستندة إلى Python بأنها تطبيق ملاحظات ملاحظات بسيط. يرتبط التطبيق بنطاق مرتبط بالنشاط السيبراني لكوريا الشمالية ، مما يسمح للمتسللين بتنزيل وتنفيذ النصوص الضارة على أجهزة الضحية. في الواقع ، تم كتابة أحد النصوص الضارة عكسيا لخداع الكشف الأمني.

أحد أكبر التهديدات لهذه البرامج الضارة هو قدرتها على استخدام AppleScript ، وهي أداة أتمتة في macOS ، والتي تسمح للمتسللين بتشغيل الأوامر عن بعد. يمكن لهذه البرامج الضارة التحكم في الأجهزة الضارة ، بما في ذلك الوصول إلى البيانات الحساسة ، وتثبيت البرامج الضارة ، وتسجيل أنشطة المستخدم.

جعلت قدرة AppleScript على التحكم في المهام داخل الجهاز هذه التقنية خطيرة ، خاصة وأن النصوص يمكن أن تتلاعب بالأجهزة دون علم المستخدم.

وذكر الباحثون بأنه حتى الآن، لا يوجد ما يشير إلى أن هذا التطبيق يستخدم في هجمات مباشرة على المستخدمين. ومع ذلك ، بالنظر إلى تاريخ كوريا الشمالية ، الذي غالبا ما يستهدف القطاع المالي ، يبدو أن التطبيقات المتعلقة بالعملات المشفرة هي أهداف محتملة.

فيما يلي بعض التدابير الوقائية التي ينصح بحماية نفسك من تهديدات البرامج الضارة هذه:

يحتوي تنزيل التطبيقات من متجر تطبيقات Mac أو مطور متجر تطبيقات MacMac على عملية مراجعة أمانية صارمة ، مما يجعلها أكثر أمانا من تنزيل التطبيقات من مصادر غير معروفة. إذا كان ذلك ممكنا ، فقم بتنزيل التطبيق فقط من متجر تطبيقات Mac أو المطور الذي تم تحديده من قبل Apple.

تفعيل إعدادات الأمان الافتراضي macOSSecara، ويسمح macOS بتنزيل التطبيقات فقط من متجر تطبيقات Mac والمطورين الموثوق بهم. يمكن للمستخدمين التحقق من هذه الإعدادات في قسم "الخصوصية والأمان" في تطبيق الإعدادات.

JAKARTA - يقوم تحديث macOS والتطبيقات على مراحلApple بشكل روتيني بإصدار تحديثات أمانية لتطبيقات macOS والتطبيقات الرسمية. من خلال تحديث الجهاز بانتظام ، يمكن للمستخدمين حماية أنفسهم من نقاط الضعف الجديدة التي قد يستغلها المتسللون.

كن حذرا من التطبيقات المتعلقة بتطبيقات التشفير التي تعد بأرباح سريعة أو تبدو جيدة جدا لدرجة أنها موثوق بها غالبا ما تحتوي على مخاطر خفية. تأكد من التحقق من سمعة التطبيق ومراجعات المستخدم قبل تنزيله.

يعد خطر الهجوم الإلكتروني من كوريا الشمالية بمثابة تحذير لجميع مستخدمي أجهزة Apple ليكونوا أكثر يقظة في إدارة التطبيقات التي تم تنزيلها ، خاصة في القطاعين المالي والعملات المشفرة اللذين غالبا ما يكونان الأهداف الرئيسية للاختراق العالمي.