بروز تهديدات جديدة: برمجيات التجسس “AMOS” تستهدف مستخدمي ماك عبر مهارات الذكاء الاصطناعي
شهدت برمجيات التجسس المعروفة باسم “Atomic macOS Stealer” (AMOS) تطوراً ملحوظاً في أساليب انتشارها، حيث تحولت وجهتها من الاعتماد على تنزيلات البرامج المقرصنة إلى استغلال مهارات OpenClaw، وهي أدوات إضافية مصممة لتوسيع قدرات وكلاء الذكاء الاصطناعي.
تعمل برمجيات AMOS كخدمة برمجيات خبيثة (MaaS) تستهدف سرقة البيانات الحساسة من مستخدمي أجهزة أبل. تقوم هذه البرمجيات بجمع مجموعة واسعة من المعلومات، بما في ذلك بيانات الاعتماد، وبيانات المتصفح، وتفاصيل محافظ العملات المشفرة، ومحادثات تيليجرام، وملفات تعريف شبكات VPN، وعناصر محفظة مفاتيح أبل، بالإضافة إلى الملفات الموجودة في المجلدات الشائعة مثل سطح المكتب والمستندات والتنزيلات.
وقد رصد محللو الأمن السيبراني في Trend Micro ظهور سلالة جديدة من AMOS مدمجة ضمن مهارات OpenClaw، وعملوا على تتبع الحملة عبر مستودعات متعددة. تمكن المهاجمون من تحميل 39 مهارة خبيثة على منصات مثل ClawHub وSkillsMP وGitHub، واكتشف ما يزيد عن 2,200 مهارة خبيثة على GitHub وحدها.
يشير هذا التحول في طرق التوزيع والتسلل إلى استراتيجية جديدة، تمثل شكلاً مبتكراً من هجمات سلسلة التوريد التي تستهدف سير عمل وكلاء الذكاء الاصطناعي. يبدأ الهجوم بملف SKILL.md بحالته الظاهرية غير الضارة، والذي يوجه وكيل الذكاء الاصطناعي لتثبيت أداة وهمية تسمى “OpenClawCLI” من موقع خارجي خبيث.
عند معالجة التعليمات من قبل نماذج الذكاء الاصطناعي الأقل يقظة مثل GPT-4o، قد يتم تثبيت الأداة بصمت أو قد يستمر الوكيل في مطالبة المستخدم بتثبيت “المشغل” الوهمي يدوياً. وعلى النقيض من ذلك، فإن النماذج الأكثر قدرة مثل Claude Opus 4.5 غالباً ما تصنف المهارة على أنها مشبوهة وترفض متابعة التنفيذ.
إذا استمر المستخدم أو وكيل الذكاء الاصطناعي في العملية، يتم جلب وتنفيذ أمر مشفر بترميز Base64، مما يؤدي إلى نشر ملف ثنائي عالمي من نوع Mach-O، وهو مصمم للعمل على كل من أجهزة ماك بمعالجات Intel وApple Silicon. وعندما يرفض نظام macOS الملف غير الموقع، تظهر نافذة حوار وهمية تطلب كلمة مرور المستخدم، مما يخدعه لإدخال كلمة مرور النظام، وبذلك يحصل البرمجية الخبيثة على الأذونات اللازمة للمتابعة.
تفاصيل سلسلة الإصابة ببرمجيات AMOS
بمجرد إدخال كلمة المرور، تبدأ برمجيات AMOS في جمع البيانات على الفور. تقوم بجمع اسم المستخدم وكلمة المرور الخاصين بالجهاز، والملفات الموجودة في مجلدات سطح المكتب، والتنزيلات، والمستندات (بما في ذلك تنسيقات .pdf، .csv، .kdbx، و .docx)، وبيانات اعتماد محفظة مفاتيح أبل، وملاحظات أبل.
تستهدف البرمجية الخبيثة أيضاً 19 متصفحاً لجمع بيانات ملفات تعريف الارتباط، وكلمات المرور، وبيانات بطاقات الائتمان المخزنة، كما يمكنها الوصول إلى ما يزيد عن 150 محفظة عملات مشفرة.
يتم ضغط جميع البيانات التي تم جمعها في أرشيف ZIP وتحميلها إلى خادم القيادة والتحكم (C&C) الموجود على العنوان socifiapp[.]com.
ينصح الخبراء المستخدمين بالتحقق دائماً من مصدر أي مهارة OpenClaw قبل تشغيلها، وتجنب إدخال كلمات مرور النظام التي تطلبها الأدوات غير المألوفة. كما يوصى باختبار المهارات غير الموثقة في بيئة معزولة، واستخدام الحاويات (containers) للحد من نطاق تنفيذ وكلاء الذكاء الاصطناعي.
مؤشرات التهديدات (IoCs)
| النوع | المؤشر | الوصف |
|---|---|---|
| URL | hxxps://openclawcli[.]vercel[.]app/ | موقع تسليم المهارات الخبيثة |
| IP Address | 91.92.242[.]30 | خادم تنزيل الحمولة |
| URL | hxxp://91.92.242[.]30/ece0f208u7uqhs6x | رابط تنزيل الحمولة |
| File Name | il24xgriequcys45 | ملف ثنائي عالمي من نوع Mach-O (حمولة AMOS) |
| C2 Server | socifiapp[.]com | نقطة نهاية لتسريب بيانات القيادة والتحكم |
| Detection Name | Trojan.MacOS.Amos | اسم الكشف عن برمجيات AMOS الخبيثة |