طور ممثلو التهديد وراء عملية LockBit ransomware أدوات جديدة يمكنها تشفير الملفات على الأجهزة التي تعمل بنظام التشغيل macOS من Apple.
يبدو أن التطوير ، الذي أبلغ عنه فريق MalwareHunterTeam خلال عطلة نهاية الأسبوع ، هو المرة الأولى التي ينشئ فيها فريق من برامج الفدية الكبيرة حمولة تستند إلى macOS.
تُظهر العينات الإضافية التي تم تحديدها بواسطة vx-underground أن متغير macOS أصبح متاحًا منذ 11 نوفمبر 2022 ، وتمكن من تجنب الاكتشاف بواسطة محركات مكافحة البرامج الضارة حتى الآن.
LockBit هو طاقم غزير الإنتاج للجرائم الإلكترونية وله علاقات مع روسيا نشط منذ أواخر عام 2019 ، حيث أصدرت الجهات الفاعلة في مجال التهديد تحديثين رئيسيين للخزانة في عامي 2021 و 2022.
وفقًا للإحصاءات الصادرة عن Malwarebytes الأسبوع الماضي ، برز LockBit باعتباره ثاني أكثر برامج الفدية استخدامًا في مارس 2023 بعد Cl0p ، وهو ما يمثل 93 هجومًا ناجحًا.
يكشف تحليل إصدار macOS الجديد ("locker_Apple_M1_64") أنه لا يزال عملاً قيد التقدم ، معتمداً على توقيع غير صالح لتوقيع الملف التنفيذي. هذا يعني أيضًا أن حماية Gatekeeper من Apple ستمنع تشغيله حتى إذا تم تنزيله وتشغيله على جهاز.
يتم تجميع الحمولة ، وفقًا للباحث الأمني باتريك واردل ، في ملفات مثل autorun.inf و ntuser.dat.log ، مما يشير إلى أن عينة برامج الفدية قد تم تصميمها في الأصل لاستهداف Windows.
قال واردل: "على الرغم من أنه يمكن بالفعل تشغيلها على Apple Silicon ، إلا أن هذا هو أساسًا مدى تأثيرها" . "وبالتالي ، ليس لدى مستخدمي macOS ما يدعوهم للقلق ... في الوقت الحالي!"
أشار واردل أيضًا إلى الضمانات الإضافية التي تنفذها Apple ، مثل حماية سلامة النظام ( SIP ) والشفافية والموافقة والتحكم ( TCC ) التي تمنع تنفيذ التعليمات البرمجية غير المصرح بها وتطلب من التطبيقات الحصول على إذن المستخدمين للوصول إلى الملفات والبيانات المحمية.
وأوضح واردل: "هذا يعني أنه بدون استغلال أو موافقة صريحة من المستخدم ستظل ملفات المستخدمين محمية". "لا يزال هناك ما يبرر طبقة إضافية أو كشف / حماية."
قال فيل ستوكس ، الباحث في SentinelOne ، إن نكهة macOS لـ LockBit هي أيضًا "سليل مباشر" لمتغير Linux ، ولا "تقوم بتنفيذ أي وظيفة لتصفية البيانات التي يتم قفلها ، كما أنها لا تحتوي على أي طريقة للمثابرة" . حالة تطور التهديد.
تعتبر النتائج ، على الرغم من التلاعب الكلي في القطع الأثرية ، علامة أكيدة على أن الجهات الفاعلة في التهديد تضع أنظارها بشكل متزايد على أنظمة macOS.
أكد ممثل LockBit منذ ذلك الحين لـ Bleeping Computer أن تشفير macOS "قيد التطوير بنشاط" ، مشيرًا إلى أن البرامج الضارة من المحتمل أن تشكل تهديدًا خطيرًا على النظام الأساسي.
"من وجهة نظر أحد الفاعلين في التهديد ، فإن قفل الملفات على أجهزة Mac ليس حقًا حالة استخدام قابلة للتطبيق [...] نظرًا لأن انقطاع الخدمة في كثير من الحالات ليس من المحتمل أن يكون شديدًا - القليل من المؤسسات تستخدم خوادم Mac للخدمات الأساسية ،" Stokes قال.
"بالإضافة إلى ذلك ، فإن استخدام الفيروس المتنقل من جهاز Mac إلى آخر بالطريقة التي تعمل بها البرامج الضارة التي تعمل بنظام Windows يكون أكثر صعوبة بشكل كبير على أجهزة Mac. وبالتالي ، من المرجح أن يكون عائد الاستثمار لممثل برامج الفدية في نشر البرامج الضارة لقفل الملفات على نقطة نهاية Mac أقل بكثير من هجمات مماثلة على خوادم Windows و Linux ".