بِسْمِ اللَّهِ الرَّحْمَنِ الرَّحِيمِ 

الْحَمْدُ لِلَّهِ رَبِّ الْعَالَمِينَ، وَصَلَّى اللَّهُ وَسَلَّمَ وَبَارَكَ عَلَى عَبْدِهِ وَرَسُولِهِ نَبِيِّنَا مُحَمَّدٍ وَعَلَى آلِهِ وَصَحْبِهِ أَجْمَعِينَ
 السَّلَامُ عَلَيْكُمْ وَرَحْمَةُ اللَّهِ وَبَرَكَاتُهُ

 تهديد MacSync خبيث يستهدف مستخدمي أجهزة Apple عبر الإعلانات المدفوعة

 

في مشهد التهديدات السيبرانية المتطور باستمرار، لم تعد أجهزة Mac في مأمن من الهجمات كما يعتقد الكثيرون. يُعد برنامج MacSync الخبيث دليلاً قاطعاً على هذا التحول، حيث يمثل تطوراً نوعياً في البرمجيات الخبيثة التي تستهدف نظام macOS. يستغل هذا البرنامج الثقة التي يوليها المستخدمون لمنصات شهيرة مثل Google وChatGPT، بالإضافة إلى نقاط ضعف في آليات الأمان التقليدية، لسرقة بيانات حساسة للغاية من ضحاياه.
ما هو MacSync؟
هو برنامج "سارق معلومات" (Infostealer) متطور، ظهر لأول مرة في أبريل 2025 تحت اسم "Mac.c" قبل أن يُعاد تسميته وتطويره ليصبح تهديداً أكثر خطورة.
ما يميز MacSync عن غيره من البرامج الخبيثة هو تصميمه المزدوج، فهو لا يكتفي بسرقة البيانات، بل يتضمن أيضاً "باباً خلفياً" (Backdoor) يُكتب بلغة Go، مما يمنح المهاجمين القدرة على التحكم عن بعد في النظام المخترق وتنفيذ أوامر إضافية أو تثبيت وحدات خبيثة أخرى .
يستهدف هذا البرنامج بشكل خاص المستخدمين ذوي القيمة العالية، بهدف سرقة مجموعة واسعة من البيانات، تشمل :
- بيانات اعتماد Keychain في iCloud وكلمات مرور المتصفحات.
- محافظ العملات الرقمية المشفرة وعبارات الاسترداد (Seed Phrases).
- الملفات الشخصية وبيانات النظام الوصفية.
- مفاتيح SSH وبيانات اعتماد AWS.
 آلية العمل: كيف يخترق MacSync أجهزة Mac؟
يُظهر MacSync قدرة مذهلة على التكيف، حيث يستخدم عدة طرق متطورة للإصابة، مما يجعله تهديداً بالغ الخطورة.
 1. استغلال الإعلانات المدفوعة (Malvertising) وهندسة "ClickFix" الاجتماعية
الطريقة الأكثر شيوعاً والأكثر دهاءً تعتمد على الإعلانات المدفوعة في محركات البحث. ينشئ المهاجمون إعلانات تظهر في أعلى نتائج البحث عند كتابة كلمات مفتاحية شائعة مثل "تنظيف جهاز Mac" أو "تحميل تطبيق ChatGPT" . عندما ينقر المستخدم على هذا الإعلان، يتم توجيهه إلى صفحات احتيالية مصممة بدقة لتقليد مواقع موثوقة، مثل صفحات GitHub أو محادثات مشتركة على ChatGPT، والتي تبدو آمنة للمستخدم.
هنا تبدأ تقنية "ClickFix"، حيث يتم خداع المستخدم لنسخ ولصق أمر معين في تطبيق Terminal تحت ذريعة إكمال تثبيت برنامج أو إصلاح خطأ وهمي . بمجرد تنفيذ هذا الأمر، يقوم بتحميل البرنامج الخبيث وتشغيله على الجهاز، متخطياً بذلك العديد من أنظمة الحماية لأن المستخدم نفسه هو من قام بتشغيله. 
وقد كشفت الأبحاث أن هذه الحملات نجحت في جذب أكثر من 50,000 نقرة على النطاقات الخبيثة بحلول ديسمبر 2025 وحده .
2.تجاوز حماية Gatekeeper عبر التوقيع الرقمي
في تطور نوعي، بدأ المهاجمون بتوزيع نسخ جديدة من MacSync على شكل تطبيقات Swift موقّعة ومصادق عليها رقمياً (Code-signed and Notarized) من قبل Apple. 
هذا يعني أن نظام macOS يعتبرها برامج موثوقة، مما يسمح لها بتجاوز نظام الأمان Gatekeeper دون أي تحذير للمستخدم.
ظهر هذا النمط الجديد من البرنامج الخبيث متخفياً في صورة مثبت لتطبيق مراسلة يدعى "zk-call"، وكان يحمل توقيعاً رقمياً سارياً حتى تم إبلاغ Apple به وإبطاله لاحقاً. 
يستخدم هذا المثبت حيلاً إضافية لتجنب الكشف، مثل تضخيم حجم ملف القرص (DMG) إلى 25.5 ميجابايت عن طريق تضمين ملفات PDF وهمية، وإجراء فحوصات للاتصال بالإنترنت قبل التنفيذ.
التداعيات والأثر: لماذا يُعد MacSync خطراً كبيراً؟
يكمن الخطر الحقيقي لـ MacSync في قدرته على تعويض نقاط الضعف في أمن macOS التقليدي. 
فبينما يعتمد المستخدمون على ميزات مثل Gatekeeper و XProtect للحماية، يستطيع MacSync التسلل عبر هذه الدروع عن طريق الظهور كبرنامج موثوق أو عن طريق إقناع المستخدم بتشغيله يدوياً عبر Terminal .
يقول باحثو الأمن السيبراني في شركة Jamf "يعكس هذا التحول في التوزيع اتجاهاً أوسع في مشهد برمجيات macOS الخبيثة، حيث يحاول المهاجمون بشكل متزايد إدخال برامجهم الضارة في ملفات تنفيذية موقعة ومصادق عليها، مما يجعلها تبدو كتطبيقات شرعية". 
هذا الاتجاه يقوض الثقة في النظام البيئي لأبل ويجعل من الصعب على المستخدم العادي التمييز بين البرامج الآمنة والضارة.
كيف تحمي نفسك من MacSync؟
في مواجهة هذا التهديد المتطور، تصبح الحماية مسؤولية مشتركة بين المستخدم ووعيه الأمني
1.تجنب النقر على الإعلانات المدفوعة للتحميلات  اذهب دائماً مباشرة إلى الموقع الرسمي للبرنامج الذي ترغب في تنزيله بدلاً من النقر على الروابط الإعلانية في نتائج البحث.
2.لا تنسخ أو تلصق أوامر Terminal من مصادر غير موثوقة هذه هي النقطة الأكثر أهمية. 
أي أمر تطلب منك صفحة ويب نسخه ولصقه في Terminal يجب أن يُعامَل بارتياب شديد، خاصة إذا جاء من إعلان أو رابط غير مألوف .
3.انتبه لأي طلب غير عادي لإدخال كلمة مرور النظام  إذا ظهرت نافذة تطلب كلمة مرور Mac فجأة دون سبب واضح، تأكد من أنها ليست نافذة مزيفة تحاول سرقة بيانات الاعتماد الخاصة بك .
4. حافظ على تحديث نظام macOS تأكد من تثبيت أحدث التصحيحات الأمنية من Apple، حيث أنها تتضمن إبطال شهادات التوقيع الخاصة بالبرامج الخبيثة التي تم اكتشافها .
في الختام، يمثل MacSync جيلاً جديداً من التهديدات التي تستغل نقاط الضعف البشرية والتقنية على حد سواء. يثبت هذا البرنامج الخبيث أن الاعتماد فقط على ميزات الأمان المدمجة في macOS لم يعد كافياً، وأن الوعي والحذر هما خط الدفاع الأكثر فعالية ضد هذه الهجمات المتطورة.

0 تعليقات