قامت حملة تستهدف أجهزة Mac بنشر مجموعة XCSSET من برامج التجسس والبرامج الضارة، والتي تتمتع بالقدرة على اختطاف متصفح الويب Safari وضخ حمولات JavaScript متنوعة يمكنها سرقة كلمات المرور والبيانات المالية والمعلومات الشخصية ونشر برامج الفدية والمزيد.

لاحظ الباحثون أن العدوى تنتشر عبر مشاريع مطور Xcode حيث يقوم مجرمو الإنترنت الذين يقفون وراء الحملة بحقن البرامج الضارة بداخلها. يتكون Xcode من مجموعة من أدوات تطوير البرامج المجانية والمفتوحة التي طورتها Apple لإنشاء برامج لنظام التشغيل macOS و iOS و iPadOS و watchOS و tvOS. وبالتالي، فإن أي تطبيقات مبنية على مطور Xcode قد تتضمن تلقائيًا التعليمات البرمجية الضارة.

جاء الاكتشاف الأولي للتهديد عندما علمت Trend Micro أن مشروع Xcode الخاص بالمطور بشكل عام احتوى على مصدر البرمجيات الخبيثة، مما أدى إلى حفرة من الحمولات الضارة. وأكد الباحثون أن التهديد يتصاعد عندما يشارك المطورون المتأثرون مشاريعهم عبر منصات مثل GitHub و VirusTotal، مما يؤدي إلى هجوم شبيه بسلسلة التوريد للمستخدمين الذين يعتمدون على هذه المستودعات باعتبارها تبعيات في مشاريعهم الخاصة.

برامج التجسس تطال أجهزة Mac

تأتي الحمولة الأولية الموجودة في المشاريع على شكل ملف Mach-O قابل للتنفيذ. حيث تمكن الباحثون من تتبع ملفات بيانات عمل Xcode الخاصة بمشروع مصاب بالفيروس ليجدوا مجلدًا مخفيًا يحتوي على Mach-O مزروع في أحد ملفات xcodeproj.

عند تنفيذه، يتصل برنامج Mach-O الضار بعنوان خادم أوامر التحكم (C2) المشفر، ليبدأ في التقاط لقطات لسطح الشاشة بالوقت الحالي بمعدل مرة واحدة في الدقيقة. وأشار التحليل إلى أنه بمجرد التقاط لقطة شاشة جديدة، يتم حذف الصورة السابقة.

ومع ذلك، فإن الهدف الرئيسي لـ Mach-O هو تنزيل حمولة المرحلة الثانية وتشغيلها، وهو ملف AppleScript يسمى main.scpt ، والذي ينفذ معظم السلوك الضار.

أشار البحث إلى أنه عند تنفيذ الحمولة “الرئيسية”، فإنها تجمع أولاً معلومات النظام الأساسية للمستخدم المصاب، ثم تقتل بعض العمليات الجارية إن وجدت، بما في ذلك المتصفحات المختلفة (Opera و Edge و Firefox و Yandex و Brave) بالإضافة إلى ” com.apple.core ” و” com.oracle.java ” وغيرها.

ثم تصل الحمولة إلى العمل الحقيقي، حيث تحصل على التعليمات البرمجية الضارة التي يمكنها خرق حزمة تطبيقات Mac. يتم تعيين اسم الحزمة على شكل اسم تطبيق مثبت ومعروف، مثل Safari. وبالتالي يتم استبدال التطبيق الأساسي والشرعي بتطبيق مزيف يبدو وكأنه تطبيق حقيقي وعادي. وبذلك عندما يفتح المستخدمون التطبيق العادي بنظرهم، هم يقومون فعليا بفتح التطبيق الضار بدلا من ذلك.

عند فتح التطبيق المزيف، يتم تنفيذ الهجوم الضار الأساسي: الاستيلاء على المتصفحات، سرقة المعلومات من التطبيقات المثبتة بما في ذلك Evernote و Skype و Telegram، ونشرها إلى مضيفين آخرين.