تحذير أمني من كاسبرسكي: البرمجيات الخبيثة تستهدف كلمات المرور وبيانات محافظ العملات الرقمية على Mac

اكتشف فريق أبحاث التهديدات في شركة كاسبرسكي حملة برمجيات خبيثة جديدة تستهدف مستخدمي أجهزة ماك . تستخدم الحملة إعلانات البحث المدفوعة في جوجل وميزة المحادثات المشتركة في ChatGPT لخداع المستخدمين، بهدف دفعهم لتحميل برنامج AMOS (Atomic macOS Stealer).

تجمع هذه البرمجية البيانات الحساسة وتثبت بابًا خلفيًا دائمًا في أجهزة الضحايا، ما يمنح المهاجمين وصولًا مستمرًا للنظام. وتعد هذه الحملة مثالًا على الهندسة الاجتماعية المعقدة التي تعتمد على الثقة في أدوات الذكاء الاصطناعي.

طريقة استغلال المستخدمين

يشتري المهاجمون إعلانات ممولة لكلمات مثل «chatgpt atlas». ثم يوجّهون المستخدمين إلى صفحة تبدو كدليل إرشادي لتثبيت ChatGPT Atlas على macOS.

يركز المهاجمون على إقناع المستخدمين بالثقة في الصفحة ، التي لا تمثل موقعًا رسميًا للبرنامج، بل نسخة معدلة من محادثة مشتركة على ChatGPT. ويضع المهاجمون التعليمات خطوة بخطوة لتثبيت البرمجية، ويطلبون من المستخدمين نسخ سطر واحد من الكود وتشغيله في Terminal مع منح كافة الأذونات المطلوبة.

الكود البرمجي وطريقة عمل AMOS

يشرح تحليل كاسبرسكي أن الكود البرمجي يحمل نصًا من النطاق atlas-extension[.]com . يطالب النص المستخدم بإدخال كلمة المرور عدة مرات للتحقق منها.

حالما يدخل المستخدم كلمة المرور الصحيحة، يبدأ الكود بتحميل برنامج AMOS وتثبيته تلقائيًا. تستهدف البرمجية معلومات تسجيل الدخول وبيانات النظام لتثبيت نفسها بشكل دائم، مستخدمة طريقة ClickFix المعدلة . يخدع المهاجمون المستخدمين لتنفيذ أوامر Shell لاسترداد وتشغيل التعليمات البرمجية من خوادم بعيدة.

البيانات المستهدفة والمعلومات المسروقة

تجمع برمجية AMOS مجموعة واسعة من المعلومات الحساسة، منها:

• كلمات المرور وملفات تعريف الارتباط من المتصفحات

• بيانات محافظ العملات الرقمية مثل Electrum, Coinomi, Exodus

• بيانات تطبيقات مثل Telegram Desktop وOpenVPN Connect

• ملفات بامتدادات TXT, PDF, DOCX من مجلدات سطح المكتب والمستندات والتحميلات

• البيانات المخزنة في تطبيق Notes

يرسل البرنامج جميع البيانات إلى بنية تحتية يسيطر عليها المهاجمون. بالإضافة إلى ذلك، يثبت المهاجمون بابًا خلفيًا للعمل تلقائيًا عند إعادة تشغيل النظام، مما يمنحهم وصولًا مستمرًا لتكرار عمليات جمع البيانات.

موجات الهجمات الحديثة

تظهر حملة AMOS اتجاهًا متزايدًا في عالم التهديدات السيبرانية 2025 . يستخدم المهاجمون مواضيع الذكاء الاصطناعي وأدواته المزيفة لإقناع الضحايا بخطوات التثبيت.

كما يعتمدون نوافذ جانبية مزيفة للمتصفحات ووكلاء مزيفين مرتبطين بنماذج ذكاء اصطناعي شائعة. يواصل نشاط Atlas استغلال ميزة مشاركة المحتوى المدمجة في منصة ذكاء اصطناعي شرعية، ما يعزز مصداقية الصفحات ويزيد فرص نجاح الحملة.

تحليل خبراء كاسبرسكي

قال فلاديمير جورسكي ، محلل البرمجيات الخبيثة لدى كاسبرسكي:

“يركز المهاجمون على الهندسة الاجتماعية بدل التعقيد التقني. الرابط الإعلاني يقود المستخدمين إلى صفحة احترافية، حيث يجدون دليل تثبيت واحدًا في Terminal. مزيج الثقة والبساطة يدفع المستخدمين للتخلي عن حذرهم المعتاد، ما يؤدي إلى اختراق كامل للنظام ومنح المهاجمين وصولًا طويل الأمد.”

يؤكد الخبراء أن نجاح الحملة يعتمد على الثقة الوهمية في أدوات الذكاء الاصطناعي ، وليس على ثغرات تقنية معقدة. يلاحظ الخبراء أن المستخدمين ينسخون التعليمات البرمجية ويمنحون الأذونات دون تفكير، ما يسمح للبرمجية بجمع بيانات شاملة.

كيفية حماية المستخدمين من AMOS

توصي كاسبرسكي المستخدمين باتباع أربعة خطوات رئيسية:

1. التعامل بحذر مع أي دليل توجيهي غير معروف يطلب تشغيل أوامر Terminal أو PowerShell، خصوصًا إذا طلب نسخ سطر برمجي واحد من صفحة أو محادثة.

2. إغلاق الصفحات المشبوهة وحذف الرسائل التي تطلب مثل هذه التعليمات، والاستعانة بشخص خبير وموثوق قبل المتابعة.

3. تحليل النصوص البرمجية المشبوهة عبر أدوات ذكاء اصطناعي أو برامج أمان لفهم وظيفتها قبل التشغيل.

4. تثبيت برنامج أمني موثوق على جميع الأجهزة ، مثل Kaspersky Premium ، الذي يكشف البرمجيات الخبيثة ويمنع سرقة المعلومات.

كما ينصح الخبراء بتحديث نظام macOS والتطبيقات دائمًا ، واستخدام كلمات مرور قوية ومتنوعة لكل حساب، وتفعيل التحقق الثنائي لحماية الحسابات المهمة.

الخلاصة

تشير حملة AMOS الخبيثة إلى تطور أساليب الهندسة الاجتماعية في المجال السيبراني، حيث يعتمد المهاجمون على الذكاء الاصطناعي والمحتوى المزيف لخداع المستخدمين.

تسلط الحملة الضوء على أهمية اليقظة الرقمية، حماية البيانات، وتثبيت برامج أمنية موثوقة . كما تؤكد على ضرورة التعليم المستمر للمستخدمين حول مخاطر نسخ وتشغيل أكواد مجهولة المصدر.

إذا لم يتخذ المستخدمون إجراءات الحماية، يمكن للبرمجية الخبيثة جمع بيانات حساسة، سرقة كلمات المرور، بيانات محافظ العملات الرقمية، وتثبيت أبواب خلفية تمنح المهاجمين وصولًا طويل الأمد.

بالتالي، يجب على جميع مستخدمي macOS الالتزام بالتوصيات الأمنية، ومراجعة أي تعليمات توجيهية بعناية، قبل تنفيذ أي كود برمجي، لضمان سلامة أجهزتهم وبياناتهم الشخصية .