اگر از مک استفاده میکنید، تصور کنید یک پیام آشنای سیستم مبنی بر «وقوع خطا در برنامه» ظاهر شود و از شما بخواهد گزارش را ارسال کنید؛ دقیقاً همین لحظه است که کیف پول دیجیتال شما خالی میشود. این بدافزار با تقلید از رفتار طبیعی سیستمعامل، اعتماد کاربر را برای سرقت هوشمندانه دادهها به دست میآورد.
طبق گزارش ۱۳ جولای ۲۰۲۴ از پژوهشگران امنیت شرکت Jamf، بدافزاری به نام CrashStealer که با زبان C++ نوشته شده، کاربران MacOS را هدف قرار داده است. این بدافزار بهطور ویژه بهدنبال سرقت اعتبار حسابهای کاربری، ورودیهای جاذبه (Keychain) و کیف پولهای رمز ارزی است.
برای سالها، استراتژیهای بازاریابی اپل به گونهای بود که القا میکرد ماشینهای مک تا حد زیادی در برابر بدافزارها مصون هستند. این تهدید جدید ثابت میکند که این فرض اشتباه است. این اتفاق در زمانی رخ میدهد که مجرمان سایبری بهطور فزایندهای از هوش مصنوعی زاینده (Generative AI) برای نوشتن کدهای مخرب پیچیده و طراحی کمپینهای فیشینگ متقاعدکننده استفاده میکنند. این روند باعث شده تا اپل برای مقابله با چنین تهدیداتی، بهطور گسترده حفرههای امنیتی سیستمی خود را ببندد تا راه نفوذ ابزارهای هک مبتنی بر هوش مصنوعی مسدود شود.

زمینه و بازه زمانی
بدافزار CrashStealer اولین بار زمانی که یک فایل مشکوک در سایت VirusTotal آپلود شد، توسط رادارهای پژوهشگران شناسایی گردید. بر اساس بررسی منابع متعدد، اگرچه این بدافزار بهتازگی در محیط واقعی پخش شده است، اما شواهد نشان میدهد که توسعه آن احتمالاً از ماه مه ۲۰۲۴ آغاز شده بود.
این تهدید در حالی ظهور میکند که هوش مصنوعی برای بهبود ایمیلهای فیشینگ مورد سوءاستفاده قرار گرفته و اکنون به عنوان ستون فقرات حملات باجافزاری عاملمحور (Agentic) عمل میکند. پژوهشگران هشدار میدهند که در عرض چند سال کوتاه، روشهای سنتی حمله به مک احتمالاً جای خود را به تهدیدات مرتبط با هوش مصنوعی خواهند داد.
جزئیات فنی
بدافزار CrashStealer برای نفوذ به سیستمها و استخراج دادهها از چندین مکانیزم فریبکارانه استفاده میکند:
- فریب بصری: این برنامه از نامهای جعلی مانند
CrashReporter.dmg(برای نصب) وCrashReporter.app(برای بسته اپلیکیشن) استفاده میکند و آنها را با یک آیکون رسمی و معتبر همراه میسازد. این ترفند دقیقاً از پاپ-آپهای استاندارد اپل تقلید میکند که وقتی نرمافزاری کرش میکند یا بهطور غیرمنتظره بسته میشود، از کاربر میخواهد گزارش خطا را ارسال کند. - سرقت از Keychain: بدافزار یک پنجره جعلی درخواست رمز عبور نمایش میدهد که دقیقاً مشابه درخواستهای واقعی احراز هویت MacOS برای باز کردن زنجیره کلیدهای سیستم (Keychain) است. این ابزار ابتدا اعتبارها را بهصورت محلی اعتبارسنجی میکند و سپس بهطور هدفمند سراغ دادههای مرورگرها و نرمافزارهای مدیریت رمز عبور میرود.
- دور زدن Gatekeeper: لایهی حفاظ (Guardrail) سیستم مک یعنی Gatekeeper — که شبیه به یک نگهبان درب ورودی است و فقط افراد دارای کارت شناسایی را راه میدهد — در اینجا دور زده میشود. فایل اصلی نصبکننده (Dropper) در قالب یک ایمیج دیسک با عنوان "Werkbit Setup" توزیع میشود که فایل
CrashReporter.dmgرا در خود جای داده است. از آنجایی که این دروپر دارای یک شناسه توسعهدهنده (Developer ID) معتبر و بلیت تأییدیه (Notarization ticket) است، در اولین اجرا از سد Gatekeeper عبور میکند. این امر به بدافزار اجازه میدهد تا یک Payload با امضای ad-hoc را بدون ایجاد هشدارهای فوری در سیستم نصب کند.
پس از فعال شدن، بدافزار بهطور مستقیم مدیریت رمزهای عبور نصبشده، مرورگرهای وب و کیف پولهای رمز ارز را هدف قرار میدهد. دادههای سرقتشده سپس در یک بسته رمزگذاری شده به سروری که توسط مهاجمان کنترل میشود، ارسال میگردند.
روشهای جایگزین حمله
به گزارش پژوهشگران Huntress، علاوه بر دروپرهای دارای امضا، روشهای خطرناک دیگری نیز برای هدف قرار دادن کاربران مک شناسایی شده است:
- ClickFix: این تکنیک بر مهندسی اجتماعی متکی است تا کاربران را فریب دهد و آنها را وادار کند تا خودشان دستورات ترمینال را وارد و اجرا کنند. این حملات اغلب با دستورالعملهای «کپی و پیست» برای «رفع یک مشکل PC» یا «حل یک کد کپچا» انجام میشوند.
- چتباتهای مسموم: پژوهشگران Huntress دریافتند که بدافزار Atomic MacOS Stealer از طریق گفتگوهای جعلی با چتباتهای هوش مصنوعی توزیع میشود که در نهایت قربانیان را به وبسایتهای مخرب و دانلود محتوای آلوده هدایت میکند.
این تغییرات نشان میدهد «باغ محصور» اپل دیگر دفاع کافی نیست. استفاده از دروپرهای دارای امضا به این معناست که کاربران دیگر نمیتوانند صرفاً به دلیل اینکه فایلی فرآیند Notarization اپل را پشت سر گذاشته است، به آن اعتماد کنند.
برای کاربران تجاری و افراد عادی، این بدان معناست که خط اول دفاع دوباره به «هشیاری انسانی» بازگشته است. تکیه بر هشدارهای سطح سیستمعامل ناکافی است، زیرا بدافزار دقیقاً برای تقلید از همان هشدارها طراحی شده است.
برای محافظت از سیستم خود، این سه عادت را جایگزین اعتماد مطلق به سیستم کنید:
گام بعدی شما
- بررسی منابع .dmg: شما نمیتوانید از روی ظاهر یک ایمیج دیسک بفهمید چه چیزی در درون آن است. از دانلود نرمافزارهای کرکشده یا pirated پرهیز کنید، زیرا اینها پرخطرترین مسیرها برای ورود بدافزارهای سرقت اطلاعات (Infostealers) هستند.
- تردید در درخواستهای ناگهانی: هشدارهای Gatekeeper برای دلیل خاصی وجود دارند. اگر در حال وبگردی هستید و یک پردازش ناشناس سیستمی بهطور ناگهانی رمز عبور شما را میخواهد، آن را نشانه آلودگی بدانید. (در مقابل، درخواست رمز عبور توسط یک برنامه VPN در حین بهروزرسانی قانونی، یک رفتار نرمال است).
- بهروزرسانی فوری MacOS: بسیاری از کاربران برای جلوگیری از وقفه در کارهایشان، اعلانهای سیستمعامل و اپ استور را نادیده میگیرند. با این حال، این بهروزرسانیها حاوی اصلاحات حیاتی باگها و ارتقاهای امنیتی هستند که هم از دستگاه و هم از دادههای شما محافظت میکنند.
منتظر گزارشهای جدید درباره باجافزارهای عاملمحور مبتنی بر هوش مصنوعی باشید، زیرا پژوهشگران هشدار میدهند که اینها ممکن است در آینده نزدیک جایگزین روشهای سنتی حمله شوند.




گفتگو