كبير مسؤولي أمن المعلومات لدى شركة مانموو 23pds يصدر تنبيهًا في 22 أبريل، يفيد بأن مجموعة القراصنة الكورية الشمالية Lazarus Group قد أطلقت مؤخرًا حزمة أدوات برمجيات خبيثة أصلية لنظام macOS بعنوان «Mach-O Man»، مخصصة لاستهداف قطاع العملات المشفرة وكبار مسؤولي المؤسسات عالية القيمة.
أسلوب الهجوم والأهداف
وفقًا لتقرير التحليل الصادر عن Mauro Eldritch، يستخدم الهجوم أسلوب ClickFix: إذ يقوم المهاجمون بإرسال رابط مُضلِّل عبر Telegram (باستخدام حسابات جهات اتصال تم اختراقها) يتنكر على هيئة دعوة اجتماع قانونية، وذلك لتوجيه الهدف إلى موقع ويب مزيف يقلّد Zoom أو Microsoft Teams أو Google Meet، مع مطالبة المستخدم بتنفيذ أوامر في طرفية macOS «لإصلاح» مشكلة الاتصال. يتيح ذلك للمهاجمين الحصول على صلاحيات وصول إلى النظام دون تفعيل إجراءات الحماية الأمنية التقليدية.
تشمل بيانات أهداف الهجوم: بيانات الاعتماد وCookie المحفوظة في المتصفح، وبيانات macOS Keychain، إضافةً إلى بيانات الإضافات في المتصفحات مثل Brave وVivaldi وOpera وChrome وFirefox وSafari. يتم تسريب البيانات المسروقة عبر Telegram Bot API؛ ويشير التقرير إلى أن المهاجمين كشفوا عن رمز بوت Telegram (خطأ في OPSEC)، ما يؤدي إلى تقويض أمان عملياتهم.
تستهدف الهجمات بشكل أساسي المطورين وكبار المسؤولين وصنّاع القرار ضمن قطاع التكنولوجيا المالية وقطاع العملات المشفرة، بالإضافة إلى بيئات المؤسسات عالية القيمة التي يستخدم فيها macOS على نطاق واسع.
المكونات الرئيسية لحزمة Mach-O Man
وفقًا للتحليل التقني لـ Mauro Eldritch، تتألف الحزمة من الوحدات الرئيسية التالية:
teamsSDK.bin: مُدخل أولي، يتخفّى على هيئة Teams أو Zoom أو Google أو تطبيقات النظام، ويقوم بتنفيذ التعرف الأساسي على البصمة النظامية
D1{سلسلة أحرف عشوائية}.bin: محلل للنظام، يجمع اسم المضيف ونوع وحدة المعالجة المركزية ومعلومات نظام التشغيل وقائمة إضافات المتصفح ويرسلها إلى خادم C2
minst2.bin: وحدة استمرارية، تنشئ دليلًا متخفّيًا باسم «Antivirus Service» وLaunchAgent، لضمان استمرار التشغيل بعد كل تسجيل دخول
macrasv2: المُسرِّب النهائي، يجمع بيانات الاعتماد وCookie الخاصة بالمتصفح ومدخلات macOS Keychain، ثم يقوم بتغليفها وتسريبها عبر Telegram مع حذف نفسه تلقائيًا
ملخص مؤشرات الاختراق الحرجة (IOC)
وفقًا لـ IOC المنشور في تقرير Mauro Eldritch:
عناوين IP خبيثة: 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
نطاقات خبيثة: update-teams[.]live / livemicrosft[.]com
ملفات حرجة (جزئية): teamsSDK.bin وmacrasv2 وminst2.bin وlocalencode وD1YrHRTg.bin وD1yCPUyk.bin
منافذ اتصال C2: 8888 و9999؛ تستخدم بشكل أساسي سلسلة خصائص User-Agent لعميل Go HTTP
للمعلومات الكاملة الخاصة بالقيم التجزئية (hash) ومصفوفة ATT&CK، راجع تقرير البحث الأصلي لـ Mauro Eldritch.
الأسئلة الشائعة
ما هي القطاعات والأهداف التي تستهدفها حزمة «Mach-O Man»؟
وفقًا للتنبيه الصادر عن شركة مانموو 23pds وأبحاث BCA LTD، تستهدف حزمة «Mach-O Man» بشكل رئيسي قطاع التكنولوجيا المالية وقطاع العملات المشفرة، إضافةً إلى بيئات المؤسسات عالية القيمة التي تستخدم فيها macOS على نطاق واسع، وخاصة فئة المطورين وكبار المسؤولين وصنّاع القرار.
كيف يقوم المهاجمون بإقناع مستخدمي macOS بتنفيذ أوامر خبيثة؟
وفقًا لتحليل Mauro Eldritch، يقوم المهاجمون بإرسال رابط مُضلِّل عبر Telegram يتنكر على هيئة دعوة اجتماع قانونية، ويوجهون المستخدم إلى موقع ويب مزيف يقلّد Zoom أو Teams أو Google Meet، ثم يطلبون من المستخدم تنفيذ أوامر في طرفية macOS «لإصلاح» مشكلة الاتصال، ما يؤدي إلى تفعيل تثبيت البرمجيات الخبيثة.
كيف تحقق «Mach-O Man» تسريب البيانات؟
وفقًا للتحليل التقني لـ Mauro Eldritch، تقوم الوحدة النهائية macrasv2 بجمع بيانات اعتمادات المتصفح وCookie وبيانات macOS Keychain ثم تغليفها وتسريبها عبر Telegram Bot API؛ وفي الوقت نفسه، يستخدم المهاجمون سكربتًا لحذف الذات لمسح آثار النظام.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
隐私协议 Umbra 关闭前端以阻止攻击者洗钱被盗的 Kelp 资金
Gate 新闻消息,4月22日——隐私协议 Umbra 已关闭其前端网站,以防止攻击者利用该协议在近期攻击之后转移被盗资金,包括导致损失超过 $280 百万的 Kelp 协议泄露事件。大约有 800,000 美元的被盗资金通过 Umbra 被转移,尽管该协议仅保护接收方的身份,而不保护发送方的身份;所有被转移的资金仍可识别。
GateNewsمنذ 1 س
جاستن صن يرفع دعوى ضد World Liberty Financial بسبب تجميد رموز WLFI وحقوق الحوكمة
بوابة الأخبار، 22 أبريل — رفع جاستن صن دعوى قضائية في محكمة اتحادية في كاليفورنيا ضد World Liberty Financial (WLF)، وهي مشروع DeFi مدعوم من إريك ترامب ودونالد ترامب الابن، مدعيًا أن الفريق جمد جميع ممتلكاته من WLFI، وأزال حقوقه في التصويت، وهدد بحرق رموزه بشكل دائم
GateNewsمنذ 4 س
مهاجم بروتوكول Venus ينقل 2301 ETH، ويقوم بالتدفق إلى Tornado Cash للغسل
وفقًا لمتابعة محللة السلسلة Ai Auntie في 22 أبريل، نقل مهاجمو Venus Protocol قبل 11 ساعة إلى العنوان 0xa21…23A7f ما مجموعه 2,301 ETH (حوالي 5.32 مليون دولار)، ثم قاموا بتحويل الأموال على دفعات إلى مُجمِّع العملات المشفّرة Tornado Cash لإجراء الغسيل؛ وحتى وقت المراقبة، كان لدى المهاجم على السلسلة حوالي 17.45 مليون دولار من ETH.
MarketWhisperمنذ 4 س
كشف ثغرة يوم الصفر في CometBFT، وقد تتعرض عقد شبكة Cosmos التي تبلغ قيمتها 8 مليارات دولار لخطر التعليق النهائي (Deadlock)
باحث أمني Doyeon Park كشف في 21 أبريل عن وجود ثغرة يوم صفر عالية الخطورة بتصنيف CVSS 7.1 في طبقة الإجماع لدى Cosmos CometBFT، وقد تؤدي إلى مهاجمة عقدة أثناء مرحلة مزامنة الكتل (BlockSync) من قِبل نظير خبيث، ما قد يسبب تعطلها في حالة توقف تام (deadlock)، مما يؤثر على شبكة تضمن أصولًا تزيد قيمتها عن 8 مليارات دولار.
MarketWhisperمنذ 4 س
مجموعة لازاروس الكورية الشمالية تُصدر برنامجًا خبيثًا جديدًا لنظام macOS من نوع Mach-O Man يستهدف قطاع العملات المشفرة
الملخص: أطلقت مجموعة لازاروس مجموعة أدوات برمجيات خبيثة أصلية لنظام macOS باسم Mach-O Man، تستهدف منصات العملات المشفرة والمسؤولين التنفيذيين رفيعي القيمة؛ ويحذر SlowMist المستخدمين من ضرورة توخي الحذر ضد الهجمات.
نبذة: يذكر المقال أن مجموعة لازاروس قد كشفت النقاب عن Mach-O Man، وهي مجموعة أدوات برمجيات خبيثة أصلية لنظام macOS تستهدف منصات العملات المشفرة والمسؤولين التنفيذيين رفيعي القيمة. ويحذر SlowMist المستخدمين من ضرورة توخي الحذر للتخفيف من الهجمات المحتملة.
GateNewsمنذ 5 س
ظهرت عملية احتيال لرسوم المرور بالبيتكوين في مضيق هرمز، حيث تعرضت سفينة لإطلاق نار حتى بعد دفع رسوم المرور
وفقًا لتقرير صادر عن CoinDesk في 22 أبريل، أصدرت شركة خدمات مخاطر بحرية يونانية تُدعى Marisks تحذيرًا، إذ يدّعي المحتالون أنهم جهات تابعة للسلطات الإيرانية ويرسلون رسائل إلى عدة شركات شحن بهدف طلب بيتكوين أو USDT كـ“رسوم عبور” للمرور عبر مضيق هرمز. أكدت Marisks أن الرسائل ذات الصلة ليست صادرة من قنوات رسمية إيرانية، ووفقًا لما ذكرته رويترز، قالت إنها تعتقد أن سفينة واحدة على الأقل قد تم خداعها، وجرى إطلاق النار عليها أثناء محاولتها المرور في عطلة نهاية الأسبوع.
MarketWhisperمنذ 5 س
