يستخدم قراصنة كوريون شماليون أنواعًا جديدة من البرمجيات الخبيثة تستهدف أجهزة Apple ضمن حملة هجمات إلكترونية تركز على شركات العملات المشفّرة، وفقًا لتقرير صادر عن شركة الأمن السيبراني Sentinel Labs يوم الأربعاء.

وذكر التقرير أن المهاجمين ينتحلون صفة شخص موثوق على تطبيقات المراسلة مثل تيليغرام، ثم يطلبون من الضحية حضور اجتماع وهمي عبر رابط Google Meet، قبل أن يرسلوا ملفًا يبدو وكأنه تحديث لبرنامج Zoom.

"NimDoor" يستهدف أجهزة Mac

عند تشغيل ملف "التحديث"، يقوم بزرع برمجية خبيثة تُعرف باسم "NimDoor" على أجهزة Mac، تستهدف محافظ العملات المشفّرة وكلمات مرور المتصفحات.

ورغم الاعتقاد الشائع سابقًا بأن أجهزة Mac أقل عرضة للاختراقات، إلا أن هذا لم يعد صحيحًا.

ويُعد مسار الهجوم شائعًا إلى حد ما، لكن البرمجية مكتوبة بلغة برمجة غير مألوفة تُدعى "Nim"، ما يجعل من الصعب على برامج الحماية اكتشافها.

وقال الباحثون: "رغم أن المراحل المبكرة للهجوم تتبع نمطًا مألوفًا لدى كوريا الشمالية يعتمد على الهندسة الاجتماعية والبرمجيات المضللة وتحديثات مزيفة، إلا أن استخدام ملفات ثنائية مكتوبة بلغة Nim على نظام macOS يُعد خيارًا غير معتاد".

رابط تحديث زوم مزيف. المصدر: Sentinel Labs


"Nim" هي لغة برمجة جديدة نسبيًا ونادرة الاستخدام، لكنها أصبحت مفضلة لدى مجرمي الإنترنت لأنها تعمل على أنظمة Windows وMac وLinux دون الحاجة إلى تعديلات، ما يسمح للمهاجمين بكتابة برمجية واحدة تعمل على جميع الأنظمة.

كما أنها تُترجم بسرعة إلى كود قابل للتنفيذ، وتُنتج ملفات تشغيلية مستقلة، ويصعب اكتشافها.

وأضاف الباحثون أن الجهات المهدّدة المرتبطة بكوريا الشمالية سبق أن جرّبت لغات مثل Go وRust، لكن "Nim" توفر مزايا إضافية من حيث الكفاءة والتخفي.

أداة لسرقة البيانات

تحتوي البرمجية الخبيثة على وحدة لسرقة بيانات الاعتماد، مصممة لاستخراج معلومات المتصفح والنظام بصمت، ثم إرسالها إلى خادم خارجي.

كما يتضمن الهجوم نصًا برمجيًا يسرق قاعدة بيانات تيليغرام المحلية المشفّرة ومفاتيح فك التشفير الخاصة بها.

ويستخدم المهاجمون توقيتًا ذكيًا، إذ تنتظر البرمجية عشر دقائق قبل التفعيل لتفادي أنظمة الحماية.

نعم، أجهزة Mac تصاب بالفيروسات

أشارت شركة Huntress للأمن السيبراني في يونيو إلى أن هجمات مماثلة نُسبت إلى مجموعة قرصنة مدعومة من الدولة الكورية الشمالية تُدعى "BlueNoroff".

وقال الباحثون إن البرمجية مثيرة للاهتمام لأنها تمكنت من تجاوز آليات حماية الذاكرة الخاصة بشركة Apple لحقن البرمجية الخبيثة.

وتُستخدم هذه البرمجيات في تسجيل ضغطات المفاتيح، وتسجيل الشاشة، واسترداد محتوى الحافظة، كما تحتوي على أداة متقدمة تُدعى "CryptoBot" تركز على سرقة العملات المشفّرة عبر التسلل إلى إضافات المتصفح التي تحتوي على محافظ.

وكانت شركة SlowMist للأمن السيبراني قد حذرت هذا الأسبوع من "حملة خبيثة واسعة النطاق" تشمل عشرات إضافات فايرفوكس المزيّفة المصممة لسرقة بيانات محافظ العملات المشفّرة.

واختتم باحثو Sentinel Labs بالقول: "خلال السنوات الأخيرة، أصبحت أجهزة macOS هدفًا متزايدًا للجهات المهاجمة، خاصة تلك التي ترعاها دول. وقد حان الوقت لدحض الأسطورة القائلة بأن أجهزة Mac لا تُصاب بالفيروسات".