برنامج ضار Atomic macOS Stealer

اكتشف باحثو الأمن السيبراني حملة برامج ضارة جديدة تستغل تكتيك الهندسة الاجتماعية الخادعة المعروف باسم ClickFix لتوزيع Atomic macOS Stealer (AMOS)، وهو برنامج ضار لسرقة المعلومات مصمم لاختراق أنظمة Apple macOS.

تكتيكات تايبوسكوات: انتحال شخصية سبكتروم

يستخدم المهاجمون وراء هذه الحملة نطاقاتٍ مُضلِّلة تُقلِّد شركة الاتصالات الأمريكية "سبكتروم"، مستخدمين مواقع إلكترونية احتيالية مثل "بانل-سبكتروم.نت" و"سبيكتروم-تيكيت.نت" لجذب المستخدمين غير المُدركين. صُمِّمت هذه النطاقات المُشابهة لتبدو شرعية، مما يزيد من احتمالية ثقة المستخدمين وتفاعلهم.

نص برمجي ضار: الحمولة المخفية

يُرسل إلى أي مستخدم لنظام macOS يزور هذه المواقع المُزيَّفة نص برمجي برمجي ضار. يُطالب هذا النص الضحايا بإدخال كلمة مرور نظامهم، ثم يسرق بيانات اعتمادهم، ويتجاوز ضوابط أمان macOS، ويُثبِّت نسخة من برنامج AMOS الخبيث لمزيد من الاستغلال. تُستخدم أوامر macOS الأصلية لزيادة فعالية النص البرمجي مع الحفاظ على سرية البيانات.

آثار المنشأ: تعليقات على الكود باللغة الروسية

تشير الأدلة إلى أن مجرمي الإنترنت الناطقين بالروسية قد يكونون وراء هذه الحملة. عثر الباحثون على تعليقات باللغة الروسية مُدمجة في الشيفرة المصدرية للبرنامج الخبيث، مما يُشير إلى الأصل الجغرافي واللغوي المُحتمل لمُرتكبي التهديد.

CAPTCHA الخادعة: إغراء ClickFix

يبدأ الهجوم برسالة تحقق hCaptcha مزيفة تدّعي التحقق من أمان اتصال المستخدم. بعد النقر على مربع الاختيار "أنا إنسان"، تظهر للمستخدمين رسالة خطأ مزيفة: "فشل التحقق من CAPTCHA". ثم يُطلب منهم متابعة "التحقق البديل".

ينسخ هذا الإجراء أمرًا ضارًا إلى الحافظة ويعرض تعليمات بناءً على نظام تشغيل المستخدم. على نظام macOS، يُوجَّه الضحايا إلى لصق الأمر وتشغيله في تطبيق Terminal، مما يؤدي إلى بدء تنزيل AMOS.

التنفيذ غير الدقيق: أدلة في القانون

على الرغم من خطورة نية الحملة، لاحظ الباحثون تناقضات في البنية التحتية للهجوم. ولوحظت أخطاء منطقية وبرمجية ضعيفة في صفحات التسليم، مثل:

• يتم نسخ أوامر PowerShell لمستخدمي Linux.
• إرشادات خاصة بنظام Windows يتم عرضها لمستخدمي Windows وMac.
• عدم تطابق الواجهة الأمامية بين نظام التشغيل المعروض والتعليمات.

صعود ClickFix: ناقل تهديد متوسع

يُعد هذا التطور جزءًا من اتجاه متزايد لاستخدام تكتيك ClickFix في حملات متعددة لمكافحة البرامج الضارة خلال العام الماضي. يستخدم مُنفذو التهديدات باستمرار تقنيات وأدوات وإجراءات متشابهة للوصول الأولي، وأكثرها شيوعًا:

• التصيد الاحتيالي بالرمح
• التنزيلات أثناء القيادة
• الروابط الضارة التي تمت مشاركتها عبر منصات موثوقة مثل GitHub

إصلاحات وهمية، أضرار حقيقية: الهندسة الاجتماعية في أسوأ حالاتها

يُخدع الضحايا ليعتقدوا أنهم يحلون مشكلة تقنية بسيطة. في الواقع، ينفذون أوامر ضارة تُثبّت برمجيات خبيثة. هذا النوع من الهندسة الاجتماعية فعال للغاية في تجاوز وعي المستخدم وآليات الأمان القياسية.

التأثير المتزايد: الانتشار العالمي والحمولات المتنوعة

تم رصد حملات ClickFix في بيئات عملاء في الولايات المتحدة وأوروبا والشرق الأوسط وأفريقيا. وتتزايد تنوع هذه الهجمات، حيث لا تقتصر على برامج سرقة البيانات مثل AMOS فحسب، بل تشمل أيضًا أحصنة طروادة وبرامج الفدية. ورغم اختلاف حمولاتها، إلا أن المنهجية الأساسية تبقى ثابتة: التلاعب بسلوك المستخدم لاختراق الأمان.

النتيجة: اليقظة مطلوبة

تُؤكد هذه الحملة على أهمية اليقظة المستمرة، وتثقيف المستخدمين، وتطبيق ضوابط أمنية فعّالة. مع تطور أساليب الهندسة الاجتماعية، مثل ClickFix، يجب على المؤسسات والأفراد على حد سواء البقاء على اطلاع دائم ومستعدين للتعرف على هذه التهديدات الخادعة وحظرها.