برمجية خبيثة لـ macOS تجد بابًا هادئًا في LaunchAgents وبابًا صاخبًا في فرز الذكاء الاصطناعي
يقرن غرسٌ قائم على Rust مرتبط بعنقود macOS ذي صلة بـ DPRK بين الاستمرارية العادية عند بدء التشغيل ومرحلة سرقة مكتوبة بـ Python ونص حقن أوامر موجّهًا إلى المحللين.
لا تحتاج برمجيات macOS الخبيثة إلى استغلالات غريبة كي تصبح مزعجة. في هذه الحالة، الجزء المثير للاهتمام هو هذا المزيج: LaunchAgent على مستوى المستخدم لتحقيق الاستمرارية، وقناة أوامر قائمة على Telegram، وحمولة مصممة للتأثير في الطريقة التي يستخدم بها المدافعون الذكاء الاصطناعي بشكل متزايد أثناء الفرز. هذا المزيج يحول موطئ قدم عاديًا على سطح المكتب إلى مشكلة في سير العمل لكل من فرق نقاط النهاية ومحللي البرمجيات الخبيثة.
حقائق سريعة
- يوصف macOS.Gaslight بأنه غرس macOS قائم على Rust وله سلوك سرقة معلومات.
- تستخدم العينة استمرارية LaunchAgent، وهي آلية بدء تشغيل قياسية في macOS.
- يعتمد مسار الأوامر والتحكم الخاص بها على استقصاء Telegram Bot API ومعالجة حركة مرور مشفرة.
- يُستخدم مكون Python مرحلي لجمع بيانات أوسع، بما في ذلك عناصر المتصفح وKeychain.
- يُقيَّم البرنامج الخبيث على أنه يندرج ضمن عنقود macOS مرتبط بـ DPRK ومقترن بتواقيع BONZAI وAIRPIPE.
لماذا يهم هذا تقنيًا
تكتسب LaunchAgents أهميتها لأنها تعمل في سياق المستخدم المسجل دخوله، ما يعني أن الغرس يمكنه البقاء عبر إعادة التشغيل والاستمرار في العمل من دون الحاجة إلى حيل على مستوى النواة أو تصعيد امتيازات واضح. على macOS، تعد هذه ميزة عادية لإدارة الخدمات، لذا يتعين على المدافعين فصل عناصر بدء التشغيل المشروعة عن المشبوهة من خلال النظر في أنماط التسمية، ومواقع الملفات، وحالة التوقيع، وسلوك علاقة الأب-الابن بين العمليات.
تفصيل التوقيع هو أيضًا مؤشر، وليس حكمًا نهائيًا. تصف Apple التوقيع ad hoc بأنه شيفرة موقعة من دون توقيع CMS، ما يجعله أضعف من إصدار Developer ID موثق وأقل فائدة كمؤشر ثقة. بعبارة أخرى، قد يساعد المحللين على فرز المخاطر، لكنه لا يثبت وحده وجود نية خبيثة.
الطبقة الأكثر إثارة للاهتمام تشغيليًا هي منطق الجمع. يمنح مكون Python مرحلي المشغل مرونة لإبقاء الثنائية الرئيسية مدمجة بينما يتم تحميل منطق سرقة أكثر ثراءً فقط عند الحاجة. وهذا مهم لأن البرمجيات الخبيثة المعيارية يمكنها التكيف أسرع من العينات الأحادية، خاصة عندما تكون مصممة لجمع بيانات المتصفح، وسجل الطرفية، والتطبيقات المثبتة، ومعلومات ملف تعريف النظام، ومواد Keychain.
تضيف قناة Telegram بعدًا آخر. إن استخدام منصة مراسلة مشروعة لتكليف المهام ونقل الملفات يمكن أن يطمس الخط الفاصل بين الحركة العادية وحركة التحكم الخبيثة، خاصة عندما تستخدم البرمجية الخبيثة أيضًا التشفير وتثبيت الشهادات. ومن منظور دفاعي، غالبًا لا تكون الإشارة في الخدمة نفسها، بل في العملية التي تتواصل معها ونمط التبادل.
يمثل عنصر حقن الأوامر الحافة الأشد حدّة. فهو لا يحتاج إلى اختراق بيئة معزولة كي يكون فعالًا. إذا أدخل محلل محتوى العينة الخام إلى سير عمل مدعوم بنموذج لغوي كبير، فقد يؤثر نص مصمم بعناية في سلوك النموذج أو مخرجاته. وهذا يجعل حقن الأوامر مصدر قلق حقيقي للفرق التي تستخدم الذكاء الاصطناعي لتلخيص البرمجيات الخبيثة أو تصنيفها.
الخلاصة
تذكير هذه العينة هو أن البرمجيات الخبيثة الحديثة لا تحتاج إلى اختراع نقطة ضعف جديدة في نظام التشغيل كي تكون فعالة. يمكنها أن تعيش على آليات macOS القياسية، وأن تستعير منصة مراسلة مشروعة للتحكم، بل وأن تحاول تلويث أدوات المحلل نفسه. والدرس الأوسع بسيط: أصبحت سير عمل المدافعين جزءًا من سطح الهجوم، لذا يجب أن يغطي الكشف كلًا من نقاط النهاية والأنظمة المستخدمة لفحصها.
TECHCROOK
مفتاح أمان عتادي: عامل ثانٍ مادي هو إضافة عملية للحسابات المرتبطة بتسجيلات الدخول عبر المتصفح والبريد الإلكتروني والوصول الإداري. وهو يقلل الاعتماد على كلمات المرور وحدها، ويفيد عندما تستهدف البرمجية الخبيثة بيانات الاعتماد أو الأسرار المخزنة في Keychain.
WIKICROOK
- LaunchAgent: آلية بدء تشغيل لكل مستخدم في macOS يديرها launchd، وتستخدم كثيرًا لتحقيق الاستمرارية من قبل التطبيقات المشروعة والبرمجيات الخبيثة على حد سواء.
- التوقيع ad hoc: وضع توقيع شيفرة في macOS يتضمن تجزئات لكنه لا يتضمن توقيع CMS، ما يجعله مؤشر ثقة ضعيفًا.
- الأوامر والتحكم (C2): القناة التي تستخدمها البرمجية الخبيثة لتلقي التعليمات أو إرسال البيانات أو تنسيق النشاط مع المشغل.
- حقن الأوامر: إدخال خبيث مصمم لتغيير كيفية تفسير نموذج الذكاء الاصطناعي للمحتوى أو استجابته له أثناء التحليل.
- سارق معلومات: برمجية خبيثة مصممة لجمع بيانات حساسة مثل عناصر المتصفح أو بيانات الاعتماد أو معلومات النظام.




