انتشرت حديثاً حملات ClickFix الخبيثة التي تستهدف مستخدمي أنظمة macOS، حيث تقوم بنشر برمجية MacSync لسرقة البيانات عبر إيهام المستخدمين بتثبيت أدوات ذكاء اصطناعي شهيرة.
ما هو فيروس MacSync وكيف ينتشر؟
فيروس MacSync هو برمجية خبيثة متخصصة في سرقة المعلومات (infostealer) مصممة خصيصًا لمهاجمة أجهزة الكمبيوتر التي تعمل بنظام تشغيل macOS. على عكس الهجمات التقليدية التي تستغل الثغرات الأمنية، تعتمد هذه الطريقة بالكامل على خداع المستخدم.
يتم ذلك عبر إقناع المستخدم بنسخ ولصق أوامر برمجية في نافذة الأوامر (Terminal)، مما يجعل الهجوم فعالاً بشكل خاص ضد الذين قد لا يدركون مخاطر تنفيذ أوامر غير معروفة المصدر. وقد تم رصد ثلاث حملات مختلفة تستخدم هذا الأسلوب لنشر الفيروس.
ما نوع البيانات التي يستهدفها الفيروس؟
بمجرد تشغيل الأمر الخبيث، يقوم السكريبت بالاتصال بخادم المهاجم لتنزيل حمولة فيروس MacSync. صُمم هذا الفيروس لسرقة مجموعة واسعة من البيانات الحساسة من الأجهزة المصابة، مع محاولة إخفاء آثاره. تشمل البيانات المستهدفة ما يلي:
- بيانات تسجيل الدخول وأسماء المستخدمين وكلمات المرور.
- الملفات الشخصية والمستندات المخزنة على الجهاز.
- قواعد بيانات Keychain التي تحتوي على كلمات مرور محفوظة.
- العبارات الأولية (seed phrases) لمحافظ العملات الرقمية.
كيف يخدع المهاجمون المستخدمين؟
يستخدم المهاجمون أساليب الهندسة الاجتماعية المتقدمة، حيث يستغلون الثقة المرتبطة بمنصات الذكاء الاصطناعي الشهيرة مثل ChatGPT وأدوات المطورين مثل Claude Code من Anthropic. يقومون بإنشاء صفحات ويب مزيفة على منصات مشروعة مثل Cloudflare Pages وSquarespace وTencent EdgeOne.
يتم الترويج لهذه الصفحات عبر إعلانات ضارة في محركات البحث، وعندما يزورها المستخدم، يجد تعليمات وهمية لتثبيت الأداة. وبحسب متابعات تيكبامين، فإن هذه التعليمات تتضمن أوامر برمجية خبيثة تؤدي إلى تثبيت الفيروس بدلاً من البرنامج الحقيقي.
تطور مستمر للتهديدات
تمثل هذه الهجمات، التي أُطلق عليها أسماء حركية مثل InstallFix أو GoogleFix، تطوراً للأساليب التي يستخدمها مجرمو الإنترنت للبقاء متقدمين على أدوات الأمان. يوضح الباحثون الأمنيون أن مطوري البرمجيات الخبيثة يقومون بتعديل أساليبهم باستمرار للتكيف مع تحديثات الأمان في أنظمة التشغيل والبرامج.
ولوحظ أن سلاسل هجوم مماثلة أدت إلى نشر برمجيات خبيثة أخرى مثل Alien infostealer على نظام ويندوز وAtomic Stealer على نظام macOS.
في الختام، يُظهر انتشار برمجية MacSync الخبيثة أهمية توخي الحذر الشديد عند تثبيت أي برامج من الإنترنت. يجب على المستخدمين تجنب نسخ ولصق الأوامر من مصادر غير موثوقة تمامًا، والاعتماد دائمًا على المتاجر الرسمية أو مواقع المطورين المباشرة لتنزيل التطبيقات.
