برمجية ClickLock Stealer الجديدة على macOS تهاجم أجهزة ماك عبر Terminal، ثم تعطل التطبيقات بشكل متكرر حتى يُدخل الضحية كلمة المرور.
ما هي برمجية ClickLock Stealer التي تستهدف macOS؟
تكشف هذه الحملة عن سلالة جديدة من برمجيات سرقة المعلومات تستهدف مستخدمي macOS بأسلوب ضغط غير معتاد. فبدلاً من الاكتفاء بسرقة الملفات بصمت، تعتمد البرمجية على تعطيل تجربة الاستخدام بالكامل لدفع الضحية إلى الاستسلام.
وبحسب ما رصدت تيكبامين، تبدأ العدوى عندما يُطلب من المستخدم لصق أمر داخل تطبيق Terminal. بعد ذلك تظهر نافذة تبدو وكأنها رسالة نظام رسمية، لكنها في الحقيقة محاولة احتيالية لالتقاط كلمة مرور تسجيل الدخول.
كيف تعمل برمجية ClickLock Stealer بعد رفض إدخال كلمة المرور؟
إذا رفض المستخدم إدخال كلمة المرور أو أغلق النافذة، لا تتوقف البرمجية عند هذا الحد. بل تقوم بزرع ملفي LaunchAgents داخل مجلد المستخدم لتبدأ مرحلة ثانية أكثر عدوانية عند تسجيل الدخول التالي.
عند إعادة تشغيل الجلسة، تدخل التطبيقات في حلقة قتل متكررة كل 210 ميلي ثانية تقريباً. هذا يعني أن Finder وDock وSpotlight وTerminal وActivity Monitor وعدداً من المتصفحات الرئيسية تصبح غير قابلة للاستخدام لفترات قد تمتد لساعات طويلة.
ما الذي تفعله البرمجية داخل النظام؟
- إنشاء ملفين للتشغيل التلقائي داخل LaunchAgents
- قتل التطبيقات الحيوية بشكل متكرر لمنع الضحية من السيطرة على الجهاز
- إظهار نافذة كلمة مرور وحيدة على سطح مكتب شبه معطل
- محاولة الوصول إلى Keychain ومفتاح Chrome Safe Storage
- تعطيل NotificationCenter لفترة طويلة لإخفاء التنبيهات
الأخطر هنا أن بعض عمليات الطلب تستخدم نافذة macOS حقيقية، ما يمنح الهجوم مظهراً أكثر إقناعاً. وبهذا يتحول الجهاز فعلياً إلى بيئة رهينة إلى أن يمنح المستخدم الإذن أو يُدخل كلمة المرور.
ما البيانات التي تسرقها برمجية ClickLock Stealer من أجهزة ماك؟
بعد نجاح العملية، يحصل المهاجم على كلمة مرور تسجيل الدخول الصحيحة، وهي مفتاح ثمين للوصول إلى بيانات أوسع. كما تُجمع حزمة كبيرة من الملفات الحساسة من المتصفحات والمحافظ وتطبيقات إدارة كلمات المرور.
- كلمات المرور وملفات تعريف الارتباط من المتصفحات
- مفتاح Chrome Safe Storage لفك التشفير لاحقاً
- بيانات إضافات محافظ العملات الرقمية
- ملفات محافظ سطح المكتب
- محتويات Keychain على macOS
- سجل أوامر shell history
- بيانات FileZilla المحفوظة
تكمن خطورة مفتاح Safe Storage في أنه يسمح بفك تشفير كلمات المرور وملفات الكوكيز المخزنة على القرص لاحقاً، حتى خارج جهاز الضحية. لذلك لا يتوقف الخطر عند لحظة الاختراق فقط، بل يمتد إلى الحسابات والجلسات المحفوظة.
كيف تحمي جهاز ماك من برمجية ClickLock Stealer؟
تشير البيانات المرصودة إلى استهداف ما لا يقل عن 100 ضحية في 33 دولة منذ مايو، مع تركّز ملحوظ في أوروبا. كما أن بنية الشيفرة توحي بأن البرمجية ما تزال قيد التطوير، ما يعني احتمال ظهور نسخ أشد خطراً لاحقاً.
خطوات عاجلة إذا تعرضت للهجوم
- افصل الجهاز عن الإنترنت فوراً
- غيّر جميع كلمات المرور المحفوظة من جهاز آمن
- ألغِ الجلسات النشطة في المتصفحات والخدمات المهمة
- انقل الأصول من محافظ العملات الرقمية إلى محافظ جديدة
- افحص مجلد LaunchAgents وابحث عن أي عناصر مشبوهة
في النهاية، تبقى برمجية ClickLock Stealer مثالاً واضحاً على تصاعد هجمات macOS من السرقة الصامتة إلى الابتزاز التشغيلي المباشر. ولهذا تنصح تيكبامين بعدم تنفيذ أوامر مجهولة داخل Terminal، لأن الوقاية هنا أهم كثيراً من محاولة التعافي بعد الإصابة.