ينشر المهاجمون أدلة مزيفة لحل مشاكل نظام macOS على منصات Medium وCraft وSquarespace. والهدف هو حث المستخدمين على تشغيل أوامر Terminal لتثبيت برامج خبيثة تستهدف بيانات iCloud وكلمات المرور المحفوظة ومحافظ العملات الرقمية.
نشر فريق أبحاث الأمن التابع لبرنامج Defender من مايكروسوفت النتائج. وتستمر هذه الحملة منذ أواخر عام 2025، وتستهدف مستخدمي أجهزة ماك الذين يبحثون عن حلول لمشاكل شائعة مثل تحرير مساحة القرص أو إصلاح أخطاء النظام.
بدلاً من تقديم حلٍّ شرعي، تطلب الصفحات من المستخدمين نسخ أمرٍ ولصقه في تطبيق Terminal. يقوم هذا الأمر بتنزيل برامج ضارة وتشغيلها.
تحثّ منشورات المدونات المضللة القراء على نسخ أمر خبيث ولصقه في نافذة الأوامر. يقوم هذا الأمر بتنزيل برامج ضارة وتشغيلها على جهاز الضحية.
تُعرف هذه التقنية باسم ClickFix، وهي هندسة اجتماعية تُغيّر مسؤولية إطلاق البرمجيات الخبيثة على الضحية. ولأن المستخدم يُشغّل الأمر مباشرةً في تطبيق Terminal، فإنّ نظام macOS Gatekeeper لا يفحص البرمجيات الخبيثة مطلقًا.
يقوم Gatekeeper عادةً بفحص توقيع الكود وتوثيقه على حزم التطبيقات التي يتم فتحها من خلال Finder، ولكن هذه الطريقة تتجاوز ذلك تمامًا.
شن المهاجمون ثلاث حملات بهدف واحد
رصدت مايكروسوفت ثلاثة برامج تثبيت حملات إعلانية:
- رافعة تحميل.
- نص مكتوب.
- مساعد.
تقوم هذه البرامج الثلاثة بجمع البيانات الحساسة، وتأسيس استمرارية لها، واستخراج المعلومات المسروقة إلى خوادم المهاجم.
تشمل عائلات البرامج الضارة AMOS وMacsync وSHub Stealer. في حال تثبيت أيٍّ من هذه البرامج، فإنها تستهدف بيانات حسابات iCloud وTelegram، ثم تبحث عن المستندات والصور الخاصة التي يقل حجمها عن 2 ميجابايت. كماtracمفاتيح محافظ العملات الرقمية من Exodus وLedger وTrezor، وتسرق أسماء المستخدمين وكلمات المرور المحفوظة من متصفحي Chrome وFirefox.
بعد التثبيت، البرنامج الخبيث نافذة حوار مزيفة ويطلب كلمة مرور النظام لتثبيت "أداة مساعدة". إذا أدخل المستخدم كلمة المرور، يحصل المهاجم على حق الوصول الكامل إلى الملفات وإعدادات النظام.
في بعض الحالات، وجد الباحثون أن المهاجمين قاموا بحذف تطبيقات محافظ العملات المشفرة الشرعية واستبدلوها بإصدارات مخترقة مصممة لمراقبة المعاملات وسرقة الأموال.
كانت تطبيقات Trezor Suite و Ledger Wallet و Exodus من بين التطبيقات الرئيسية التي استهدفتها هذه الهجمة.
تتضمن حملة التحميل أيضًا مفتاح إيقاف. يتوقف البرنامج الخبيث عن العمل إذا اكتشف تخطيط لوحة مفاتيح روسية.
لاحظ باحثو الأمن استخدام المهاجمين لأدوات مثل curl وosascript وغيرها من الأدوات الأصلية لنظام macOS لتشغيل البرامج الضارة مباشرةً في الذاكرة. هذا أسلوب لا يعتمد على الملفات، مما يجعل اكتشافه أكثر صعوبة بالنسبة لأدوات مكافحة الفيروسات القياسية.
يستهدف المهاجمون مطوري العملات المشفرة
اكتشف باحثو الأمن من شركة ANY[.]RUN عمليةً لمجموعة لازاروس تُدعى "Mach-O Man". استخدم المخترقون نفس أسلوب ClickFix من خلال دعوات اجتماعات مزيفة. واستهدفوا أجهزة شركات التكنولوجيا المالية والعملات المشفرة التي تستخدم نظام macOS بشكل شائع.
Cryptopolitan نشر عن حملة PromptMink.
قامت مجموعة "فيموس تشوليما" الكورية الشمالية بزرع حزمة برمجية خبيثة من نوع npm في مشروع لتداول العملات الرقمية، وذلك عبر تغيير مُولّد بواسطة الذكاء الاصطناعي. وباستخدام أسلوب الحزمة ثنائية الطبقات، تمكّنت البرمجية الخبيثة من الوصول إلى بيانات المحفظة وأسرار النظام.
تُظهر كلتا الحملتين أن بيانات محافظ العملات الرقمية قيّمة. ويُكيّف المهاجمون أساليبهم في إيصال هذه البيانات، من منشورات المدونات المزيفة إلى اختراقات سلاسل التوريد المدعومة بالذكاء الاصطناعي.