أدوات جديدة للأمن تستهدف التهديدات المتزايدة على macOS

تعتبر أنظمة macOS هدفًا متزايدًا للتهديدات الأمنية، مما يستدعي تطوير أدوات جديدة للتصدي لهذه التهديدات.

لطالما اعتُبرت أنظمة macOS محصنة نسبيًا ضد التهديدات الأمنية، إلا أن العقد الماضي شهد تحولها إلى هدف رئيسي للمهاجمين. ومع ذلك، لا تزال هذه الأنظمة غير مدروسة بشكل كافٍ من قبل الباحثين في مجال الأمن، وغالبًا ما لا يدرك المدافعون مدى أهمية وتأثير التهديدات التي يواجهونها، ولا يعرفون بالضبط ما هي.

تعاون باحثان مستقلان منذ عدة سنوات لتغيير ذلك. حيث قام الباحث المستقل أوبينا إيغبي والمهندس الأمني غودوين أتيغاه، الذي يعمل في Airbnb، بتوثيق البرمجيات الخبيثة النشطة حاليًا على أنظمة macOS، وتطوير أداة للمساعدة في التعرف على هذه التهديدات والدفاع ضدها.

في مؤتمر بلاك هات أوروبا 2025 الشهر المقبل، سيكشف الاثنان عن ماليت، أكبر مجموعة بيانات عامة للبرمجيات الخبيثة على أنظمة macOS حتى الآن، وكاتالينا، أداة تحليل ثابت مفتوحة المصدر عالية الأداء قادرة على معالجة آلاف الثنائيات في الدقيقة على أجهزة الكمبيوتر العادية. وسيقدمان هذه النتائج وغيرها في جلسة بعنوان “الصمت على أنظمة macOS: ماذا تكشف 70 ألف ثنائية عن نظام البرمجيات الخبيثة على macOS؟”

“مشكلة البرمجيات الخبيثة على أنظمة macOS أكبر بكثير مما يُعتقد،” يوضح أتيغاه في مقابلة حديثة مع Dark Reading. التقى إيغبي بأتيغاه قبل حوالي خمس سنوات أثناء عملهما معًا على التهديدات الداخلية في Google، وقررا التعاون ليس فقط لتغيير وجهة نظر الصناعة حول البرمجيات الخبيثة على macOS، ولكن أيضًا للمساعدة في التعرف عليها ومكافحتها.

“النتيجة الرئيسية من هذا البحث هي تسليط الضوء على أن نظام macOS ليس خاليًا من البرمجيات الخبيثة،” يضيف إيغبي. “أعتقد أن ذلك يجب أن يكون واضحًا للمجتمع الآن.”

علاوة على ذلك، فإن الكثير من البرمجيات الخبيثة على macOS التي حددها الباحثون غير موقعة، مما يتحدى فرضية طويلة الأمد بأن الثنائيات على أنظمة macOS خارج متجر التطبيقات الرسمي يجب أن تكون موقعة لتعمل. وهذا بدوره يمثل تحديًا ليس فقط للمنظمات ولكن أيضًا لشركة آبل، التي يعتقدون أنه يجب عليها التحقيق بشكل أعمق في كيفية حدوث ذلك.

تواصل الباحثون مع شركة آبل حول عملهم من خلال “قنوات غير رسمية”، وسيطلبون تعليقات رسمية بعد الانتهاء من ورقتهم التي ستُقدم في بلاك هات، والتي من المحتمل أن تحدث في 21 نوفمبر. لم ترد شركة آبل على طلب تعليقات من Dark Reading على الفور.

أدوات لمتصدّي البرمجيات الخبيثة على macOS

تشمل ماليت 48,400 ثنائية خبيثة و22,907 ثنائية غير خبيثة، مما يميز سمات البرمجيات الخبيثة الخاصة بـ macOS، وفقًا لورقة سيقدمها الاثنان في بلاك هات أوروبا. تشمل هذه السمات إساءة استخدام الحقوق الأمنية، وإساءة استخدام واجهات البرمجة النصية، والشذوذ في توقيع الشيفرة.

من خلال تطويرهم لماليت، اكتشف الباحثون أن 96.1%، أو 46,540، من العينات الخبيثة غير موقعة. تكشف هذه النتيجة عن فجوات حرجة في نموذج توقيع الشيفرة التي يجب على آبل التحقيق فيها، كما أشار الباحثون.

“لا نريد إلقاء اللوم على آبل، لكن بطريقة ما يجد المهاجمون طرقًا لسرقة الشهادات أو إيجاد طرق لتوقيعها،” يقول إيغبي.

كأداة مكملة لماليت، سيقوم الباحثون أيضًا بإصدار كاتالينا، وهي أداة تحليل ثابت مفتوحة المصدر تعتمد على لغة غولان، تستخرج الميزات الهيكلية والمؤشرات الثابتة لسلوك البرمجيات الخبيثة المحتمل على نطاق واسع. تشمل هذه المؤشرات الحقوق، وبيانات توقيع الشيفرة، والبرامج النصية المدمجة، والمكتبات المرتبطة.

“الهدف الرئيسي من كاتالينا هو تحديد الميزات الأساسية التي تجعل عينة البرمجيات الخبيثة ما هي،” يوضح إيغبي. من المهم أن الباحثين قاموا ببناء الأداة لتكون مستقلة عن النظام، بحيث لا يحتاج المستخدمون إلى العمل على نظام macOS لتحليل العينات.

“معًا، توفر ماليت وكاتالينا أساسًا قابلًا للتكرار لتحليل البرمجيات الخبيثة على أنظمة macOS بشكل منهجي،” وفقًا لورقتهم.

البرمجيات الخبيثة على macOS مرتبطة بالجهات الفاعلة من كوريا الشمالية

أثناء بحثهم وتطويرهم لماليت وكاتالينا، اكتشف أتيغاه وإيغبي أيضًا بعض الاتجاهات حول المشهد الحالي للبرمجيات الخبيثة على أنظمة macOS التي قالوا إنها يمكن أن تكون مفيدة أيضًا للمدافعين.

أحدها هو انتشار الجهات الفاعلة المدعومة من الدولة من كوريا الشمالية في استهداف منصة macOS، كما قالوا. في الواقع، من بين الثنائيات الموقعة التي تم اكتشافها، كان هناك العديد منها يحمل شهادات ملغاة مرتبطة بمجموعة تهديد مستمرة متقدمة مرتبطة بجمهورية كوريا الديمقراطية الشعبية. علاوة على ذلك، ظل أحد هذه الثنائيات على الإنترنت لمدة 760 يومًا قبل أن تلغيه آبل.

“لقد وجدت كوريا الشمالية مكانًا في البرمجيات الخبيثة على أنظمة macOS،” يقول أتيغاه. “إنهم يستثمرون بشكل كبير في تقليد الشركات الأخرى واستخدام شهادات التوقيع المشتركة،” بالإضافة إلى بناء البرمجيات الخبيثة على أنظمة macOS، كما يضيف.

اتجاه آخر حددته الباحثون هو ارتفاع عدد برامج سرقة بيانات الاعتماد، والتي ظهرت كتهديد رئيسي، خاصة عبر المؤسسات. علاوة على ذلك، فإن كل من تقنيات مكافحة الفيروسات واستجابة الكشف عن النقاط النهائية “لا تؤدي عملًا جيدًا في العثور عليها ووقفها مبكرًا،” مما يزيد من احتمالية الإصابة التي ستتجنب الكشف، كما يقول أتيغاه. وهذا يبرز الحاجة إلى مشاركة أدوات مثل ماليت وكاتالينا مع المدافعين.

مع استمرار تطور مشهد البرمجيات الخبيثة، تبقى أدوات مثل ماليت وكاتالينا أساسية في تعزيز أمان أنظمة macOS.