جاكرتا - يطلب من مستخدمي أجهزة الكمبيوتر Mac زيادة اليقظة بعد أن اكتشف باحثون أمنيون إلكترونيين برامج ضارة جديدة تسمى CrashStealer والتي تحاكي أداة رسمية تابعة لشركة Apple. تم تصميم البرمجيات الخبيثة لسرقة مجموعة متنوعة من البيانات الحساسة ، بدءا من كلمات المرور وبيانات المتصفحات إلى محافظ الأصول المشفرة.
تم الكشف عن هذه النتيجة من قبل مختبرات تهديدات Jamf ، التي وجدت أن CrashStealer ينتشر بنشاط من خلال تطبيق مزيف يدعى Werkbit.
ما يجعل هذا التهديد أكثر خطورة هو أن البرمجيات الخبيثة قد نجحت في التغلب على آلية أمان Apple notarization بحيث لم يتم حظرها على الفور من قبل Gatekeeper ، وهو نظام أمان مدمج في macOS عادة ما يمنع تشغيل التطبيقات الضارة.
يعمل CrashStealer تحت ستار CrashReporter.app ، وهو تطبيق يبدو وكأنه نظام الإبلاغ عن الأعطال المضمن في macOS. نظرًا لظهوره الموثوق للغاية ، قد يعتقد العديد من المستخدمين أن التطبيق هو مكون رسمي من Apple. في الحقيقة ، ميزة Crash Reporter الأصلية جزء من macOS ولا تحتاج إلى تنزيلها بشكل منفصل.
عند تشغيله ، يطلب التطبيق المزيف إذن الوصول الكامل إلى القرص بحجة إدارة النظام. بعد ذلك ، يعرض البرنامج الضار مربع طلب كلمة المرور الذي يبدو شبيها بالشكل تقريبا مع نافذة المصادقة الرسمية لـ macOS.
إذا أدخل المستخدم كلمة المرور للإدارة ، فستستخدم CrashStealer على الفور الوصول إلى Login Keychain ، حيث يقوم macOS بتخزين العديد من بيانات الاعتماد المهمة.
اختراق كلمات المرور إلى المحافظ الرقمية
وفقا لمختبرات تهديدات Jamf ، تم تصميم CrashStealer لجمع أنواع مختلفة من البيانات الحساسة ، بما في ذلك:
بيانات المتصفح ،
معلومات من تسجيل الدخول إلى Keychain ،
بيانات مدير كلمات المرور ،
ملف في مجلد "المستندات" ،
ملف في مجلد التنزيلات ،
تمديد محفظة العملات المشفرة.
يمكن للبرمجيات الخبيثة استهداف أكثر من 80 امتدادًا لمحافظ التشفير بالإضافة إلى ما لا يقل عن 14 تطبيقًا لإدارة كلمات المرور.
بعض مديري كلمات المرور المستهدفة تشمل:
1Password،
LastPass،
Dashlane.
يتم تشفير جميع البيانات التي تم جمعها بنجاح باستخدام خوارزمية AES-256-GCM من خلال إطار عمل CommonCrypto الخاص بشركة Apple قبل إرسالها إلى خادم الجاني.
تخطى نظام أمان Apple
واحدة من أكثر الأشياء التي تثير القلق هي قدرة CrashStealer على تجاوز عملية التصديق من Apple. التصديق هو آلية أمنية تستخدمها Apple للتحقق مما إذا كان التطبيق يحتوي على كود ضار قبل السماح له بالتشغيل على macOS.
ومع ذلك ، في هذه الحالة ، حصل تطبيق Werkbit على حالة موثقة حتى اعتبر Gatekeeper أنه تطبيق آمن.
وتعتقد Jamf أن تنفيذ CrashStealer يظهر مستوى أعلى من التطور مقارنة برامج التجسس على البيانات بشكل عام لأنه قادر على إخفاء أنشطته بشكل جيد للغاية.
Apple تغلق مسار الهجوم
اكتشفت Jamf CrashStealer لأول مرة في مايو 2026 ولاحظت مرة أخرى أن البرمجيات الخبيثة كانت نشطة في يوليو.
بعد تلقي التقرير، سحبت أبل شهادة التوقيع (شهادات التوقيع) الخاصة بتطبيق Werkbit بحيث تم تعطيل مسار التوزيع الذي وجده الباحثون الآن.
ومع ذلك، حذر الباحثون من أن الجناة يمكن أن يستخدموا طرقا أخرى لنشر البرمجيات الخبيثة المماثلة في المستقبل.
من المثير للاهتمام ، لا يمكن تثبيت الإصدار الأولي من CrashStealer إلا باستخدام رمز PIN خاص. هذا يشير إلى أن البرنامج الضار قد يستخدم في هجوم يستهدف أفرادا أو مجموعات معينة ، وليس في الانتشار الشامل.
كيفية حماية نفسك
جيمف يحث مستخدمي ماك على توخ الحذر عند تنزيل التطبيقات من الإنترنت.
وتشمل الخطوات الموصى بها:
لا تنزيل التطبيقات التي تدعي أنها CrashReporter لأن هذه الميزة متوفرة بالفعل في macOS ؛
حذار من التطبيقات التي تطلب كلمة المرور للمشرف مباشرة عند فتحها لأول مرة.
قم بتنزيل التطبيقات فقط من مصادر موثوق بها.
قم بتحديث macOS دائمًا إلى أحدث إصدار للحصول على أحدث حماية أمنية.
أظهرت قضية CrashStealer أن أنظمة الأمن الحديثة لا يمكنها دائما وقف جميع التهديدات. تجعل التقنيات التخفي المتقدمة المستخدمين لا يزالون الطبقة الدفاعية الأكثر أهمية. لذلك ، فإن التحقق من مصدر التطبيق قبل تثبيته وعدم منح الإذن بالوصول بشكل عشوائي أو إدخال كلمة المرور الإدارية هو خطوة بسيطة يمكن أن تمنع سرقة البيانات المهمة والأصول الرقمية.
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)