آلاف مواقع الويب توزّع برمجية خبيثة تستهدف النظام macOS

مَنَعت كاسبرسكي باستخدام الحلّ Kaspersky Solutions for Mac هجمات شنتها عائلة التروجان Shlayer، التي استهدفت الأجهزة العاملة بالنظام macOS. واستطاع حل كاسبرسكي تأمين الحماية من هذه الهجمات لواحد من كل عشرة أجهزة Mac، ما يجعل هذا التهديد الأوسع انتشارًا بين مستخدمي نظام التشغيل macOS. ويجري توزيع البرمجية الخبيثة عبر نظام توزيع ذكي يعتمد على شبكة تابعة لجهة تخريبية شريكة، ومواقع ترفيهية، وحتى عبر “ويكيبيديا”، في دلالة على أهمية التأكد من متانة أنظمة الأمن الرقمية وكفايتها حتى لدى المستخدمين الحريصين على زيارة مواقع الويب الرسمية السليمة فقط.

وعلى الرغم من أن نظام Mac يُعتبر تقليديًا من بين أكثر أنظمة التشغيل أمنًا وسلامة، فما زال مجرمو الإنترنت يحاولون استغلال مستخدميه. وتُظهر إحصائيات كاسبرسكي أن Shlayer كان التهديد الأوسع انتشارًا لنظام التشغيل MacOS في العام 2019، لذلك يُعدّ مثالًا جيدًا على محاولات المجرمين التي لا تتوقف. وتختص هذه البرمجية الخبيثة في تثبيت البرمجيات الإعلانية adware، التي تُزعج المستخدمين بعرض الإعلانات غير المرخصة، واعتراض استفساراتهم المقدمة في متصفات الويب وجمعها، وتعديل نتائج البحث بما يسمح بتوزيع المزيد من الرسائل الإعلانية.

وشكّل Shlayer نسبة اقتربت من الثلث (29.28%) من بين جميع الهجمات التي استهدفت أجهزة macOS المسجلة بمنتجات كاسبرسكي في الفترة من يناير إلى نوفمبر 2019، في حين تمثّلت التهديدات العشرة الأولى تقريبًا التي استهدفت الأجهزة العاملة بهذا النظام، بالبرامج الدعائية التي يقوم Shlayer بتثبيتها عليها؛ ومن أبرزها AdWare.OSX.Bnodlero، وAdWare.OSX.Geonei، وAdWare.OSX.Pirrit، وAdWare.OSX.Cimpli. وعلاوة على ذلك، لم تتغير خوارزمية الإصابة الخاصة بهذا التروجان منذ أن اكتُشف لأول مرة، وذلك على الرغم من أن نشاطه بالكاد انخفض، ما يجعله يمثل تهديدًا خطرًا ينبغي للمستخدمين توخي الحذر وطلب الحماية منه.

وغالبًا ما تحدث الإصابة بالتروجان Shlayer على مرحلتين؛ تنزيله من قبل المستخدم من غير قصد ولا معرفة منه، ثمّ شروعه في تثبيت نوع محدد من البرمجيات الإعلانية. وقد أنشأت الجهة التخريبية الكامنة وراء Shlayer نظام توزيع له عبر عدد من القنوات التي تدفع المستخدمين إلى تنزيله، من أجل ضمان تثبيت البرمجيات الخبيثة.

يتم تقديم Shlayer بوصفه وسيلة للاستثمار في مواقع الويب من خلال عدد من برامج الشركاء الملفات الإعلانية، التي تقدّم عروضًا مالية مرتفعة نسبيًا تدفع فيها للموقع مقابل كل تثبيت لبرمجية خبيثة من المستخدمين الأمريكيين، ما يشجّع أكثر من 1,000 “موقع شريك” على توزيع Shlayer.

ويعمل هذا المخطط على النحو التالي: يبحث المستخدم عن حلقة مسلسل تلفزيوني أو عن مباراة لكرة القدم، فتوجّهه صفحات إعلانية إلى صفحات تحديث Flash Player مزيفة، حيث ينزّل الضحية البرمجية الخبيثة دون علمه. ويتلقى الشريك الذي وزّع الروابط المؤدية إلى البرمجية الخبيثة مبلغًا من المال إزاء كل عملية تثبيت.

مثال على صفحة لتنزيل Shlayer

تؤدي أنظمة تضليل أخرى إلى صفحة تحديث مزيفة لتطبيق Adobe Flash الشهير، توجّه المستخدمين إليها من خدمات ذات شعبية واسعة عبر الإنترنت، مثل “يوتيوب”، حيث تُضمّن الروابط إلى موقع الويب الخبيثة في الشروح الخاصة بمقاطع الفيديو، وفي “ويكيبيديا”، حيث جرى إخفاء الروابط في مراجع ضمن مقالات في الموسوعة الشهيرة. ويجري كذلك توجيه المستخدمين الذين ينقرون على هذه الروابط إلى الصفحات المقصودة لتنزيل Shlayer. وعلاوة على ذلك، وجد باحثو كاسبرسكي 700 من النطاقات ذات المحتوى الخبيث، تؤدي إليها روابط موضوعة على مجموعة متنوعة من مواقع الويب الأصلية.

مقطع فيديو في “يوتيوب” وصفحة في “ويكيبيديا” بروابط خبيثة في الشروح

تحتوي جميع مواقع الويب التي تؤدي إلى صفحات Flash Player مزيفة على محتوى باللغة الإنجليزية، الأمر الذي يتناسب مع أكثر الدول تأثرًا بالتهديد؛ الولايات المتحدة (31%) وألمانيا (14%) وفرنسا (10%) وبريطانيا (10%).

التوزيع الجغرافي للمستخدمين ضحايا Shlayer في الفترة من فبراير 2018 وحتى أكتوبر 2019

وقال أنتون إيفانوف محلل الأمن لدى كاسبرسكي، إن منصة نظام التشغيل MacOS تمثل لمجرمي الإنترنت “مصدرًا جيدًا للمال”، لافتًا إلى سعيهم المستمر نحو إيجاد سبل جديدة لخداع المستخدمين، ونشاطهم في اللجوء إلى أساليب الهندسة الاجتماعية لنشر برمجياتهم الخبيثة، وأضاف: “توضح هذه الحالة أنه يمكن العثور على مثل هذه التهديدات حتى على المواقع الأصلية، ويبقى من الجيد أن أكثر التهديدات انتشارًا لدى مستخدمي النظام macOS تدور حاليًا حول الإعلانات غير المرخصة، وليست أشياء أكثر خطورة، مثل سرقة البيانات المالية. وعلى كلّ حال، يستطيع الحل الأمني الجيد تأمين حماية المستخدمين من هذه التهديدات، لجعل تجربة البحث في الويب آمنة وممتعة”.

وتكشف حلول كاسبرسكي عن التروجان Shlayer ونواتجه بالمعرِّفات التالية:

• HEUR:Trojan-Downloader.OSX.Shlayer.*
• not-a-virus:HEUR:AdWare.OSX.Cimpli.*
• not-a-virus:AdWare.Script.SearchExt.*
• not-a-virus:AdWare.Python.CimpliAds.*
• not-a-virus:HEUR:AdWare.Script.MacGenerator.gen

يمكن التعرف على الصفحات والروابط المؤدية لعائلة التروجان، وتفاصيل إضافية عن نتائج بحث كاسبرسكي في الصفحة Securelist.com.

توصي كاسبرسكي باتباع التدابير التالية لتقليل مخاطر الإصابة بالتروجانات مثل Shlayer:

• تثبيت البرمجيات والتحديثات فقط من مصادرها الموثوق بها.
• محاولة معرفة المزيد من المعلومات عن مواقع الترفيه التي تنوي زيارتها، باستقصاء سمعتها على الإنترنت ومحاولة العثور على تعليقات تخصها.
• استخدام حلّ أمني موثوق به مثل Kaspersky Security Cloud الذي يتيح حماية متطورة على Mac، وكذلك على أجهزة الحاسوب والأجهزة المحمولة.