0

في أعقاب إعادة تجميع برامج الإعلانات المتسللة على نظام «macOS» لاستهداف معالج آبل الداخلي الجديد، اكتشف الباحثون عائلة جديدة تماماً من البرامج الضارة التي تستهدف النظام الأساسي. وهو البرنامج الضار الثاني الذي يستهدف أجهزة ماك المزودة بشريحة «M1» الداخلية من شركة آبل الذي يصيب الأجهزة في جميع أنحاء العالم، لكن السبب غير واضح.

من الغريب أنه في العينات التي شاهدها المحللون في منظمة «Red Canary» حتى الآن، كان البرنامج الضار (الملقب بـ Silver Sparrow – وتعني العصفور الفضي) ينفذ على الأجهزة المستهدفة بدون تنفيذ مهمته الأخيرة المنشودة. إذ قال الباحثون إنه يبدو أنه ينتظر المزيد من التعليمات، وهو أمر مقلق لأنه من الواضح أن الجهات التي تقف وراءه أعداء متقدمون ومتطورون.

لكن «Silver Sparrow» انتشر في أي حال؛ اعتباراً من 17 فبراير/شباط، أصاب هذا الدخول الجديد إلى مشهد البرامج الضارة بالفعل 29139 جهاز يعمل بنظام ماك في 153 دولة حول العالم، وفقاً للباحثين، وبشكلٍ أساسي في كندا وفرنسا وألمانيا والمملكة المتحدة والولايات المتحدة.

نظرة شاملة على مزايا معالج M1 من آبل

Apple M1 Tidbits: Running iOS Apps With .IPAs, Running x86 Homebrew Apps, Accessing macOS Recovery and More - MacRumors

أصدرت شركة آبل معالج M1 كنظام على شريحة (SoC) في الخريف الماضي، وهي المرة الأولى التي يصنع فيها عملاق التكنولوجيا السيليكون المكتبي/المحمول. يأتي المحور من شرائح Intel التي استخدمتها أجهزة ماك من قبل مع بعض الفوائد؛ مثل أداء أسرع للتطبيقات الأصلية. كما أنه يدمج معالج رسومات ومحرك عصبي للتعلم الآلي وشريحة أمان «T2» الخاصة بالشركة. كما يستخدم بنية «ARM»، والتي عادةً ما تشغل أجهزة الهاتف الذكي أو الكمبيوتر المحمول. ويعني ملف تعريف ARM الأصغر حجماً استهلاكاً أقل للطاقة، مما يضاعف عمر البطارية.

مع بدء طرح أجهزة ماك الجديدة، يحول مجرمو الإنترنت انتباههم الآن إلى هذه الأهداف التي تعمل بشريحة M1، كما اتّضح من ظهور برامج إعلانية مُعاد تشغيلها “Pirrit” الأسبوع الماضي. والآن، ظهرت عائلة البرامج الضارة «Silver Sparrow» على الساحة. برنامج ضار جديد تماماً تم تصميمه ليزدهر في بيئة نظام «Mac M1» وفق كلام الباحثين.

العصفور الفضي يغادر العش

New Silver Sparrow malware infects 30,000 Macs for unknown purpose

وفقاً للباحثين في منظمة «Red Canary»، من المحتمل جداً أن يكون «Silver Sparrow» أحد برامج الإعلانات المتسللة الخبيثة. ويحتوي على نسختين؛ أحدهما يستهدف أجهزة ماك المستندة إلى معالجات Intel، والأخرى مصممة لإصابة كل من الأجهزة القديمة والأجهزة القائمة على معالجات M1. والجدير بالذكر أنه يستخدم JavaScript للعمل. وهو أمرٌ نادر في عالم البرامج الضارة بنظام التشغيل «macOS».
وقال الباحثون في تدوينةٍ يوم الخميس:

“على الرغم من أننا لم نلاحظ أن Silver Sparrow تقدم حزم ضارة إضافية حتى الآن، إلا أن توافقه مع شريحة M1 المثير للاهتمام، والوصول العالمي، ومعدل الإصابة المرتفع نسبياً، والنضج التشغيلي، جميعها عوامل تشير إلى أن Silver Sparrow يمثل تهديداً خطيراً بشكل معقول، وقد تم وضعه بشكل فريد لتقديم حزمة برمجية ذات تأثير محتمل”

من غير الواضح كيف تنتشر تلك البرامج الضارة، على الرغم من أن كلا البرنامجين الثنائيين يحتويان على “حزمة” في أسمائهما، مما يقدم دليلاً. إذ لاحظ الباحثون إيجادهم العديد من التهديدات على نظام «macOS» يتم توزيعها من خلال الإعلانات الضارة كمثبِّتات فردية قائمة بذاتها في شكل PKG أو DMG، وتتنكر في شكل تحديثات لتطبيق شرعي؛ مثل Adobe Flash Player، على سبيل المثال.

البنية التحتية المستضافة على السحابة

New 'Silver Sparrow' Malware Infected Nearly 30,000 Apple Macs

وفقاً للباحثين، تتم استضافة البنية التحتية التي يترعرع فيها برنامج Silver Sparrow على منصة «Amazon Web Services S3» السحابية، ويتم استضافة نطاقات رد الاتصال التي يستخدمها البرنامج من خلال شبكة «CDN» لتسليم المحتوى التابعة لشركة أكامي.

وأشار الباحثون إلى أن هذا يعني أن الخصم يفهم ما يفعله على الأرجح. إذ يتيح لهم خيار الاستضافة هذا الاندماج مع حركة التصفح العادية للبنية التحتية السحابية الحاضنة. ولا تستطيع معظم المؤسسات أن تمنع الوصول إلى المخدمات في أمازون أو أكامي. ويدعم قرار استخدام البنية التحتية الخاصة بـ «Amazon Web Services S3» تخمينن الباحثين بأن هذا خصم ناضج تشغيلياً ومتمكّن تقنياً.

تطوير البرامج الضارة المستندة إلى JavaScript

New Mac Malware Lies Dormant In Nearly 30000 Macs | Lowyat.NET

تتجلى علامات التطور الأخرى في تصميم البرنامج الخبيث. على سبيل المثال؛ يستخدم Silver Sparrow لبدء التثبيت واجهة برمجة تطبيقات JavaScript لمثبت نظام macOS لتنفيذ الأوامر المشبوهة، ذلك وفقاً لتحليل الباحثين. وهذا نهج غير عادي.

قال الباحثون: “على الرغم من أننا لاحظنا وجود برامج شرعية تقوم بذلك، فإن هذه هي المرة الأولى التي نلاحظها في البرامج الخبيثة. ويعد هذا انحرافاً عن السلوك الذي نلاحظه عادةً في برامج تثبيت نظام macOS الضارة، والتي تستخدم بشكل عام البرامج النصية للتثبيت المسبق أو ما بعد التثبيت لتنفيذ الأوامر”.

وأضافت المنظمة أن استخدام أوامر JavaScript الضارة وعملية مثبت macOS المشروعة لها فائدة في تقييد الرؤية في محتويات حزمة التثبيت. فبمجرد التثبيت، يستخدم Silver Sparrow الأمر system.run من آبل للتنفيذ.

وثّقت آبل كود system.run على أنه إطلاق برنامج معين في دليل الموارد لحزمة التثبيت، ولكنه لا يقتصر على استخدام دليل الموارد. فكما لوحظ مع Silver Sparrow، يمكنك توفير المسار الكامل لعملية التنفيذ وحججها. ومن خلال اتباع هذا المسار، يتسبب البرنامج الخبيث في قيام المثبت بإنتاج العديد من عمليات المهاجمة التي يمكنه استخدامها بعد ذلك لتحقيق أهدافه”.

هذا التحايل يمنح المطورين قدراً كبيراً من المرونة عندما يتعلق الأمر بتطوير البرامج الضارة بمرور الوقت. إذ يمكن تمديد أوامر المهاجمة باستخدام الوسائط (صور وفيديوهات) التي تخزن التعديلات إلى الملفات الموجودة على القرص، والتي تتم كتابتها سطراً بسطر باستخدام أوامر JavaScript. وهذا خيار سيسمح للخصم بتعديل الكود بسرعة مما يسهل عملية التطوير. كما يساعد البرامج الضارة على تجنب تواقيع مكافحة الفيروسات الثابتة البسيطة عن طريق إنشاء البرنامج النصي ديناميكياً بدلاً من استخدام ملف نصي ثابت.

بمجرد التنفيذ الكامل، يترك Silver Sparrow نصين برمجيين على قرص مصاب: /tmp/agent.sh
~ / Library / Application Support / verx_updater / verx.sh.

يتم تنفيذ البرنامج النصي agent.sh على الفور في نهاية التثبيت للاتصال بخادم الأوامر والتحكم للإشارة إلى أن التثبيت قد تم بنجاح. وفي الوقت نفسه، يتم تنفيذ البرنامج النصي verx.sh بشكل دوري، باستخدام «LaunchAgent» مستمر للاتصال بمضيف بعيد للحصول على مزيد من المعلومات، بما في ذلك التحقق من وجود محتوى إضافي لتنزيله وتنفيذه.

أوضح الباحثون: “توفر LaunchAgents طريقة لإرشاد launchd؛ نظام تهيئة نظام macOS، لتنفيذ المهام بشكل دوري أو تلقائياً. وكل ساعة، تطلب نسخة LaunchAgent المرتبطة بـ launchd تنفيذ نص برمجي يقوم بتنزيل ملف JSON على القرص، ويحوله إلى ملف plist، ويستخدم خصائصه لتحديد إجراءات أخرى”.

يبقى الهدف النهائي لغزاً

Silver Sparrow, a all set-to-act malware installed on at least 30,000 Macs

أثناء مراقبة عمليات تسجيل الوصول للبرامج الخبيثة إلى خادم الأوامر والتحكم لأكثر من أسبوع، لم يقم أي من الأجهزة المضيفة المتأثرة البالغ عددها حوالي 30 ألفاً بتنزيل ما سيكون الحمولة التالية أو النهائية. إذ من المفترض أن يكون هذا مكوناً من شأنه أن ينفذ إجراءات ضارة مثل سرقة الملفات والبيانات أو التشفير أو برامج الفدية أو البرامج الإعلانية أو شن هجمات حرمان من الخدمة DDoS، على سبيل المثال لا الحصر. بعبارة أخرى، أجنحة العصفور الفضي مقصوصةً حتى الآن.

قال باحثون: “الهدف النهائي من هذه البرامج الضارة هو لغز. وليست لدينا طريقة لمعرفة الحمولة التي ستوزعها البرامج الضارة على وجه اليقين، أم إذا تم بالفعل تسليم الحمولة وإزالتها، أم إذا كان لدى الخصم جدول زمني مستقبلي للتوزيع فعلياً أم لا”.

لكن لاحظ الباحثون أن هناك دليلاً على ما قد يسعى إليه مطورو البرنامج الخبيث في نهاية روتين التثبيت.

أوضح الباحثون: “في نهاية التثبيت، يقوم Silver Sparrow بتنفيذ أمري اكتشاف لإنشاء بيانات لطلب curl HTTP POST، مما يشير إلى حدوث التثبيت. حيث يُِستردّ عنوان URL المستخدم عادةً لتنزيل ملف الحزمة الأصلي. ومن خلال تنفيذ استعلام sqlite3، يعثر البرنامج الضار على عنوان URL الأصلي الذي تم تنزيل الحزمة منه، مما يمنح الخصم فكرةً عن قنوات التوزيع الناجحة. وعادةً ما نرى هذا النوع من النشاط مع البرامج الضارة على نظام ماك”.

0

شاركنا رأيك حول "برنامج «Silver Sparrow» الخبيث يغزو أجهزة ماك في أكثر من 150 دولة ولا أحد يعرف السبب"