هل تريد نشرة يومية مجانية مخصصة؟ اختر فقط المواضيع التي تهمك ووفّر وقتك.

برمجية ClickLock Stealer تضرب ماك وتبتز الضحايا

ملخص للمقال
  • برمجية ClickLock Stealer تضرب ماك عبر خداع المستخدم للصق أمر داخل Terminal، ثم تعرض نافذة macOS مزيفة لسرقة كلمة مرور تسجيل الدخول مباشرة
  • بعد رفض كلمة المرور، تنشئ ClickLock Stealer ملفي LaunchAgents داخل مجلد المستخدم لضمان الاستمرار والانتقال إلى مرحلة ابتزاز أكثر عدوانية عند الدخول التالي
  • التفاصيل التقنية تكشف أن البرمجية تقتل التطبيقات الحيوية كل 210 ميلي ثانية تقريباً، بما يشمل Finder وDock وSpotlight وTerminal وActivity Monitor ومتصفحات رئيسية
  • تستهدف برمجية ClickLock Stealer على macOS بيانات حساسة مثل Keychain ومفتاح Chrome Safe Storage، مع تعطيل NotificationCenter لإخفاء التنبيهات وتقليل فرص الاكتشاف
  • التأثير على المستخدمين خطير لأن جهاز ماك يصبح شبه مشلول لساعات، ما يدفع الضحية لإدخال كلمة المرور تحت الضغط بدل الاكتفاء بسرقة صامتة
  • مقارنة ببرمجيات سرقة المعلومات السابقة على macOS، تعتمد ClickLock Stealer أسلوب ابتزاز مباشر وتعطيل تجربة الاستخدام، ما يرجح تصاعد هجمات مشابهة وأكثر إقناعاً لاحقاً
هل تريد نشرة يومية مجانية مخصصة؟ اختر اهتماماتك هنا
برمجية ClickLock Stealer تضرب ماك وتبتز الضحايا
محتوى المقال
جاري التحميل...

برمجية ClickLock Stealer الجديدة على macOS تهاجم أجهزة ماك عبر Terminal، ثم تعطل التطبيقات بشكل متكرر حتى يُدخل الضحية كلمة المرور.

ما هي برمجية ClickLock Stealer التي تستهدف macOS؟

تكشف هذه الحملة عن سلالة جديدة من برمجيات سرقة المعلومات تستهدف مستخدمي macOS بأسلوب ضغط غير معتاد. فبدلاً من الاكتفاء بسرقة الملفات بصمت، تعتمد البرمجية على تعطيل تجربة الاستخدام بالكامل لدفع الضحية إلى الاستسلام.

وبحسب ما رصدت تيكبامين، تبدأ العدوى عندما يُطلب من المستخدم لصق أمر داخل تطبيق Terminal. بعد ذلك تظهر نافذة تبدو وكأنها رسالة نظام رسمية، لكنها في الحقيقة محاولة احتيالية لالتقاط كلمة مرور تسجيل الدخول.

كيف تعمل برمجية ClickLock Stealer بعد رفض إدخال كلمة المرور؟

إذا رفض المستخدم إدخال كلمة المرور أو أغلق النافذة، لا تتوقف البرمجية عند هذا الحد. بل تقوم بزرع ملفي LaunchAgents داخل مجلد المستخدم لتبدأ مرحلة ثانية أكثر عدوانية عند تسجيل الدخول التالي.

عند إعادة تشغيل الجلسة، تدخل التطبيقات في حلقة قتل متكررة كل 210 ميلي ثانية تقريباً. هذا يعني أن Finder وDock وSpotlight وTerminal وActivity Monitor وعدداً من المتصفحات الرئيسية تصبح غير قابلة للاستخدام لفترات قد تمتد لساعات طويلة.

ما الذي تفعله البرمجية داخل النظام؟

  • إنشاء ملفين للتشغيل التلقائي داخل LaunchAgents
  • قتل التطبيقات الحيوية بشكل متكرر لمنع الضحية من السيطرة على الجهاز
  • إظهار نافذة كلمة مرور وحيدة على سطح مكتب شبه معطل
  • محاولة الوصول إلى Keychain ومفتاح Chrome Safe Storage
  • تعطيل NotificationCenter لفترة طويلة لإخفاء التنبيهات

الأخطر هنا أن بعض عمليات الطلب تستخدم نافذة macOS حقيقية، ما يمنح الهجوم مظهراً أكثر إقناعاً. وبهذا يتحول الجهاز فعلياً إلى بيئة رهينة إلى أن يمنح المستخدم الإذن أو يُدخل كلمة المرور.

ما البيانات التي تسرقها برمجية ClickLock Stealer من أجهزة ماك؟

بعد نجاح العملية، يحصل المهاجم على كلمة مرور تسجيل الدخول الصحيحة، وهي مفتاح ثمين للوصول إلى بيانات أوسع. كما تُجمع حزمة كبيرة من الملفات الحساسة من المتصفحات والمحافظ وتطبيقات إدارة كلمات المرور.

  • كلمات المرور وملفات تعريف الارتباط من المتصفحات
  • مفتاح Chrome Safe Storage لفك التشفير لاحقاً
  • بيانات إضافات محافظ العملات الرقمية
  • ملفات محافظ سطح المكتب
  • محتويات Keychain على macOS
  • سجل أوامر shell history
  • بيانات FileZilla المحفوظة

تكمن خطورة مفتاح Safe Storage في أنه يسمح بفك تشفير كلمات المرور وملفات الكوكيز المخزنة على القرص لاحقاً، حتى خارج جهاز الضحية. لذلك لا يتوقف الخطر عند لحظة الاختراق فقط، بل يمتد إلى الحسابات والجلسات المحفوظة.

كيف تحمي جهاز ماك من برمجية ClickLock Stealer؟

تشير البيانات المرصودة إلى استهداف ما لا يقل عن 100 ضحية في 33 دولة منذ مايو، مع تركّز ملحوظ في أوروبا. كما أن بنية الشيفرة توحي بأن البرمجية ما تزال قيد التطوير، ما يعني احتمال ظهور نسخ أشد خطراً لاحقاً.

خطوات عاجلة إذا تعرضت للهجوم

  • افصل الجهاز عن الإنترنت فوراً
  • غيّر جميع كلمات المرور المحفوظة من جهاز آمن
  • ألغِ الجلسات النشطة في المتصفحات والخدمات المهمة
  • انقل الأصول من محافظ العملات الرقمية إلى محافظ جديدة
  • افحص مجلد LaunchAgents وابحث عن أي عناصر مشبوهة

في النهاية، تبقى برمجية ClickLock Stealer مثالاً واضحاً على تصاعد هجمات macOS من السرقة الصامتة إلى الابتزاز التشغيلي المباشر. ولهذا تنصح تيكبامين بعدم تنفيذ أوامر مجهولة داخل Terminal، لأن الوقاية هنا أهم كثيراً من محاولة التعافي بعد الإصابة.

التعليقات (1)


أضف تعليقك

عدد الأحرف: 0 يدعم: **نص غامق** *مائل* `كود` [رابط](url)

مقالات مرتبطة


مقالات مقترحة

محتوى المقال
جاري التحميل...