بدافزار دزد macOS اتمی

محققان امنیت سایبری یک کمپین بدافزاری جدید را کشف کرده‌اند که از تاکتیک مهندسی اجتماعی فریبنده‌ای به نام ClickFix برای توزیع Atomic macOS Stealer (AMOS)، یک بدافزار سرقت اطلاعات که برای به خطر انداختن سیستم‌های macOS اپل طراحی شده است، استفاده می‌کند.

تاکتیک‌های تایپواسکات: جعل هویت طیف

مهاجمان پشت این کمپین از دامنه‌های typosquat تقلیدی از ارائه‌دهنده خدمات مخابراتی مستقر در ایالات متحده، Spectrum، استفاده می‌کنند و از وب‌سایت‌های جعلی مانند panel-spectrum.net و spectrum-ticket.net برای فریب کاربران ناآگاه استفاده می‌کنند. این دامنه‌های مشابه طوری ساخته شده‌اند که مشروع به نظر برسند و احتمال اعتماد و تعامل کاربر را افزایش دهند.

اسکریپت پوسته‌ی مخرب: بار داده‌ی پنهان

هر کاربر macOS که از این سایت‌های جعلی بازدید کند، یک اسکریپت مخرب دریافت می‌کند. این اسکریپت از قربانیان می‌خواهد رمز عبور سیستم خود را وارد کنند و سپس به سرقت اطلاعات کاربری، دور زدن کنترل‌های امنیتی macOS و نصب نوعی از بدافزار AMOS برای سوءاستفاده بیشتر می‌پردازد. دستورات بومی macOS برای به حداکثر رساندن اثربخشی اسکریپت و در عین حال حفظ امنیت استفاده می‌شوند.

ردپای منشأ: نظرات مربوط به کد زبان روسی

شواهد نشان می‌دهد که مجرمان سایبری روس زبان ممکن است پشت این کمپین باشند. محققان نظراتی به زبان روسی را در کد منبع این بدافزار یافتند که به منشأ جغرافیایی و زبانی احتمالی عاملان تهدید اشاره دارد.

کپچای فریبنده: فریب کلیک‌فیکس

این حمله با یک پیام جعلی تأیید hCaptcha آغاز می‌شود که ادعا می‌کند در حال بررسی امنیت اتصال کاربر است. پس از کلیک روی کادر انتخاب «من انسان هستم»، کاربران با یک پیام خطای جعلی مواجه می‌شوند: «تأیید CAPTCHA ناموفق بود». سپس از آنها خواسته می‌شود که با یک «تأیید جایگزین» ادامه دهند.

این اقدام، یک دستور مخرب را در کلیپ‌بورد کپی می‌کند و دستورالعمل‌هایی را بر اساس سیستم عامل کاربر نمایش می‌دهد. در macOS، قربانیان برای چسباندن و اجرای دستور در برنامه ترمینال راهنمایی می‌شوند و دانلود AMOS آغاز می‌شود.

اجرای نامرتب: سرنخ‌هایی در کد

علیرغم هدف خطرناک این کمپین، محققان متوجه ناهماهنگی‌هایی در زیرساخت حمله شدند. خطاهای منطقی و برنامه‌نویسی ضعیف در صفحات تحویل مشاهده شد، مانند:

• دستورات PowerShell برای کاربران لینوکس کپی می‌شوند.
• دستورالعمل‌های مخصوص ویندوز که هم برای کاربران ویندوز و هم برای کاربران مک نمایش داده می‌شود.
• عدم تطابق‌های front-end بین سیستم‌عامل نمایش داده شده و دستورالعمل‌ها.

ظهور کلیک‌فیکس: یک بردار تهدید رو به گسترش

این توسعه بخشی از روند رو به رشد استفاده از تاکتیک ClickFix در چندین کمپین بدافزاری طی سال گذشته است. عاملان تهدید به طور مداوم از تکنیک‌ها، ابزارها و رویه‌های (TTP) مشابهی برای دسترسی اولیه استفاده می‌کنند، که رایج‌ترین آنها عبارتند از:

• فیشینگ هدفمند
• دانلودهای Drive-by
• لینک‌های مخربی که از طریق پلتفرم‌های معتبری مانند گیت‌هاب به اشتراک گذاشته می‌شوند

راه‌حل‌های جعلی، آسیب واقعی: مهندسی اجتماعی در بدترین حالت خود

قربانیان فریب می‌خورند و فکر می‌کنند که در حال حل یک مشکل فنی بی‌خطر هستند. در واقع، آنها در حال اجرای دستورات مضری هستند که بدافزار نصب می‌کنند. این شکل از مهندسی اجتماعی در دور زدن آگاهی کاربر و مکانیسم‌های امنیتی استاندارد بسیار مؤثر است.

تأثیر فزاینده: گسترش جهانی و محموله‌های متنوع

کمپین‌های ClickFix در محیط‌های مشتری در ایالات متحده، اروپا، خاورمیانه و آفریقا (EMEA) شناسایی شده‌اند. این حملات به طور فزاینده‌ای متنوع هستند و نه تنها سارقانی مانند AMOS، بلکه تروجان‌ها و باج‌افزارها را نیز ارائه می‌دهند. در حالی که ممکن است بارهای داده متفاوت باشند، روش اصلی همچنان ثابت است: دستکاری رفتار کاربر برای به خطر انداختن امنیت.

نتیجه‌گیری: هوشیاری لازم است

این کمپین بر اهمیت هوشیاری مداوم، آموزش کاربران و کنترل‌های امنیتی قوی تأکید می‌کند. با تکامل تاکتیک‌های مهندسی اجتماعی مانند ClickFix، سازمان‌ها و افراد باید آگاه و آماده باشند تا چنین تهدیدهای فریبنده‌ای را تشخیص داده و مسدود کنند.