التقنية اليومية
·03/07/2026
تكشف الأبحاث الأمنية الحديثة عن تطور كبير في كيفية عمل البرمجيات الخبيثة على macOS. فبالابتعاد عن أوامر الصدفة الصاخبة والمكثفة من حيث استهلاك الموارد، يتجه المهاجمون بشكل متزايد إلى استخدام واجهات برمجة التطبيقات الأصلية للنظام للحفاظ على الاستمرارية واختراق بيانات الاعتماد. ويمثل هذا التحول انتقالًا نحو سلاسل تنفيذ أكثر هدوءًا وأكثر تطورًا، مما يعقّد عملية اكتشافها بالنسبة إلى المستخدمين ومنصات حماية نقاط النهاية على حد سواء.
تُظهر الهجمات الحديثة تغيرًا واضحًا في أسلوب التشغيل: فبدلًا من الاعتماد على نشاط الصدفة الواضح، تستخدم البرمجيات الخبيثة على نحو متزايد أطر عمل macOS الأصلية لتهيئة التنفيذ بسلوك أقل ظهورًا.
كانت سلاسل الهجوم تعتمد عادةً على أدوات مثل curl أو zsh، مما يولد سلوكًا أكثر قابلية للرصد على سطر الأوامر بالنسبة إلى أدوات المراقبة.
يستخدم PamStealer لغة JavaScript for Automation وواجهات Objective-C الأصلية لتهيئة الحمولة مع تقليل بصمته السلوكية.
يسيء المهاجمون أيضًا استخدام مكونات مصادقة محلية مشروعة للتحقق من بيانات الاعتماد المسروقة وتحقيق الربح منها بكفاءة أكبر.
تزداد البرمجيات الخبيثة المخصصة لسرقة بيانات الاعتماد استخدامًا لواجهة Pluggable Authentication Modules (PAM)، وهي مكوّن يُستخدم عادةً للتحقق المشروع من كلمات المرور محليًا. وفي حالة PamStealer، تستخدم البرمجية الخبيثة هذه الواجهة للتحقق بصمت من بيانات اعتماد المستخدم قبل تهريبها إلى خادم يسيطر عليه الخصم. وتتيح هذه التقنية للمهاجمين تأكيد صلاحية البيانات المسروقة في الوقت الفعلي من دون لفت الانتباه إلى طلبات شبكة مشبوهة أثناء الاختراق الأولي.
تجمع التهديدات الحديثة على macOS بين التنكر والتوقيت والتحكم في العمليات لكي تبقى مقيمة في الأنظمة لفترة أطول وتُضعف المؤشرات التي يعتمد عليها المدافعون عادةً.
تُقلّد العمليات الخبيثة تطبيقات مشروعة كي تمتزج مع نشاط macOS الاعتيادي في الخلفية.
تنتظر التهديدات طويلًا بعد التثبيت قبل إطلاق المطالبات أو طلبات الوصول إلى القرص، مما يجعل الربط بين السبب والنتيجة أكثر صعوبة.
تقلل هذه التكتيكات من ترابط الأحداث الذي يعتمد عليه المدافعون غالبًا لتحديد عمليات التثبيت الخبيثة وسلوك الاستمرارية.
تعتمد التهديدات الحديثة على macOS تقنيات مراوغة معقدة لإطالة بقائها على الأنظمة المضيفة. فمن خلال التمويه في هيئة تطبيقات مشروعة مثل Finder أو أدوات تحديث النظام، تتمكن العمليات الخبيثة من الاندماج فعليًا في نشاط الخلفية. وعلاوة على ذلك، تنفذ هذه التهديدات استراتيجيات لتأخير المطالبات، إذ تنتظر ما يصل إلى أربعين دقيقة قبل إطلاق طلبات النظام أو مطالبات الوصول إلى القرص. ويؤدي هذا التأخير فعليًا إلى فصل التثبيت الخبيث عن الإجراءات التي يبادر بها المستخدم، مما يقلل من ترابط الأحداث الذي تستخدمه الأنظمة الدفاعية عادةً لتحديد الإصابات.
ومع استمرار تطور هذه التهديدات، فإن الاعتماد على ميزات النظام الأصلية بدلًا من الأدوات الخارجية الواضحة يكشف عن تحدٍّ حاسم أمام أمن macOS. وينبغي للمختصين أن يركزوا على المراقبة القائمة على السلوك بحيث تأخذ في الحسبان التركيبات غير المعتادة من استدعاءات واجهات برمجة التطبيقات الأصلية وطلبات النظام المؤجلة.