تم اكتشاف برامج ضارة مرة أخرى ، تستهدف على وجه التحديد Apple أجهزة السيليكون. ومع ذلك ، اكتشف الباحثون أنه لا يمكن أن يؤذي في هذه المرحلة ، لأن البرنامج الضار لا يحتوي على حمولة خطيرة. دليل على المفهوم؟
يبدو أنه قد يكون هناك المزيد من البرامج الضارة التي تستهدف على وجه التحديد Appleأجهزة Mac المستندة إلى M1 أكثر مما كان يعتقد سابقًا. بعد ظهور تقارير عن أول برنامج ضار M1 تم العثور عليه “في البرية” ، يبدو الآن أن هناك المزيد من الإصابات بالبرامج الضارة. ومع ذلك ، فإن هذه البرامج الضارة لها طبيعة غير ضارة بشكل خاص.
في أوائل فبراير ، اكتشف الباحثون سلالة جديدة من برامج macOS الضارة التي تستخدم لتثبيت نفسها. ليست خاصة في حد ذاتها ، لأن هذه الطريقة مستخدمة في العديد من أشكال البرامج الضارة الأخرى. ما كان مثيرًا للاهتمام بالنسبة للباحثين هو أن هذه البرامج الضارة تصرفت بشكل مختلف عن البرامج الإعلانية “القياسية” ، نظرًا للطريقة التي تم بها استخدام JavaScript في التنفيذ.
فقط لأجهزة M1 Mac
وهي مجموعة البرامج الضارة ، التي أطلق عليها الباحثون اسمًا ، احتوت على ثنائي مخصص خصيصًا للعمل مع شرائح M1 وبالتالي استهداف محتمل Apple أجهزة السيليكون.
مزيد من التحقيقات التي أجراها باحثون من ووجدوا أنه من المحتمل أن يكون “سلالة برامج ضارة لم يتم اكتشافها من قبل”. ومع ذلك ، في 17 فبراير ، تم اكتشاف هذا البرنامج الضار وتحديده في 29139 نقطة نهاية macOS في 153 دولة. حدثت غالبية الإصابات في الولايات المتحدة والمملكة المتحدة وكندا وفرنسا وألمانيا ، وكذلك هولندا.
في وقت النشر ، لم يتم استخدام البرنامج الضار لتنفيذ إجراءات ضارة على أجهزة Mac الخاصة بالضحايا ، على الرغم من أن ذلك قد يتغير في المستقبل. نظرًا لتوافقه مع M1 ، و “معدل الإصابة المرتفع نسبيًا” و “النضج التشغيلي” للبرنامج الضار ، فقد تم اعتباره تهديدًا خطيرًا. البرمجيات الخبيثة “في وضع فريد لتوصيل حمولة من المحتمل أن تكون خطرة في غمضة عين.” نتيجة لذلك ، اخترت جعل هذا النوع المحدد من البرامج الضارة متاحًا للجميع.
نسختان
تم اكتشاف نسختين من البرامج الضارة ، أحدهما يحتوي على حمولة تتكون من ثنائي لم يؤثر إلا على أجهزة Mac المستندة إلى Intel ، بينما احتوى الآخر على ثنائي تم تجميعه لكل من معمارية Intel و M1. الحمولة هي عنصر نائب على ما يبدو ، حيث يفتح الإصدار الأول نافذة بها النص المعروف “Hello world!” والنسخة الثانية تقول “لقد فعلت ذلك!” عروض.
إذا كانت برامج ضارة خبيثة ، فمن المحتمل أن تتسبب الحمولة في اختراق نفس التعليمات أو تعليمات مشابهة لمنصتي Intel و M1 ، من ملف تنفيذي واحد.
كيف تعمل لعبة Silver Sparrow؟
تستخدم آلية البرنامج الضار ملفات تسمى “update.pkg” و “updater.pkg” ، في شكل أدوات تثبيت. يستخدم كلا الإصدارين واجهة برمجة تطبيقات JavaScript API لمثبت macOS لتنفيذ أوامرهما المارقة.
يُنظر إلى هذه الطريقة بشكل شائع مع البرامج الشرعية ، والتي تستخدم عادةً نصوصًا برمجية مثبتة مسبقًا أو بعد التثبيت لتنفيذ الأوامر ، وليس البرامج الضارة.
بمجرد نجاح التثبيت ، تحاول البرامج الضارة تنزيل ملف على عنوان URL محدد ، والذي قد يحتوي على إرشادات إضافية أو حمولة نهائية. بعد أن فحص الباحثون البرمجيات الخبيثة لمدة أسبوع ، اتضح أنه لا توجد حمولة يمكن اكتشافها حتى الآن. شيء يمكن أن يتغير في المستقبل ، مع ذلك.
الكثير من عدم اليقين
ظلت العديد من الأسئلة دون إجابة للباحثين حول هذه البرامج الضارة. على سبيل المثال ، تساءلوا من أين أتت ملفات PKG الأصلية المستخدمة لإصابة أجهزة Mac. كما شككوا في حقيقة أنه يحتوي على عناصر من كود البرامج الضارة التي تبدو وكأنها جزء من مجموعة أدوات أوسع.
يعترف بأن “الغرض النهائي من هذه البرامج الضارة هو لغز”. “لا يمكننا التأكد حتى الآن من الحمولة التي يتم توزيعها بواسطة البرامج الضارة ، أو ما إذا كان قد تم بالفعل تسليم الحمولة وإزالتها ، أو ما إذا كان لدى المنشئ جدول زمني مستقبلي للتوزيع.”
هناك أيضًا مشكلة تضمين “” الملفات القابلة للتنفيذ ، حيث لن يتم تشغيل هذا الثنائي تلقائيًا إلا إذا بحثت الضحية بنشاط عنها وشغّلتها بنفسها. تشير الملفات القابلة للتنفيذ إلى أن هذا قد يكون ما يسمى بالبرامج الضارة “إثبات المفهوم” ، أو أن هناك حاجة إلى حزمة تطبيق لجعل البرامج الضارة تبدو شرعية لأطراف أخرى.
الرد على المقال:
تستهدف البرامج الضارة الجديدة بشكل أساسي أجهزة M1 Mac
