كشفت تقارير حديثة عن حملة تصيد احتيالي متطورة تستهدف مستخدمي نظام macOS، مستخدمة رسائل بريد إلكتروني مزيفة تتعلّق بالامتثال كواجهة لتوزيع برمجيات خبيثة متقدمة. تم اكتشاف هذه الحملة مؤخراً بواسطة مختبر Chainbase، والتي تنتحل هوية إشعارات التدقيق والامتثال الرسمية لخداع المستخدمين. تجمع سلسلة الهجوم هذه بين الهندسة الاجتماعية وحمولة متعددة المراحل غير معتمدة على الملفات، بهدف سرقة بيانات الاعتماد وإنشاء وصول عن بعد دائم على أجهزة الضحايا.
تبدأ الهجمات بطلب التأكد من الاسم القانوني للشركة، ثم تتبعها رسائل تدّعي أنها من مدققين ماليين أو مديري استحقاق الرموز، مصحوبة بملفات مرفقة خبيثة. تهدف هذه العملية إلى خداع المستخدمين لفتح مستندات تم التلاعب بها.
حملة تصيد احتيالي متطورة تستهدف مستخدمي macOS
تتطور الهجمات عبر خطوات منسقة بعناية لخداع المستخدمين وفتح مستندات تم التلاعب بها. تبدأ رسائل البريد الإلكتروني الأولية بطلب من المستلمين تقديم معلومات أساسية حول الشركة، بهدف بناء الثقة قبل وصول الموجة الثانية من الهجوم.
عندما يستجيب الضحايا، يرسل المهاجمون رسائل متابعة بعنوان مرتبط بمواعيد نهائية مثل “التدقيق الخارجي للسنة المالية 2025” أو “تأكيد استحقاق الرموز”. تحتوي هذه الرسائل على مرفقات تبدو وكأنها ملفات Word أو PDF، لكنها في الواقع ملفات AppleScript تستخدم امتدادات مزدوجة لإخفاء طبيعتها الحقيقية.
حدد محللو SlowMist أن البرمجيات الخبيثة تستخدم عملية إصابة متعددة المراحل، حيث يعمل ملف AppleScript الأولي كنقطة دخول لتنزيل وتنفيذ المزيد من التعليمات البرمجية الضارة. لاحظ باحثو SlowMist أن المتجه الأساسي للإصابة بالبرمجيات الخبيثة يستخدم ملفاً باسم “Confirmation_Token_Vesting.docx.scpt”، والذي يبدو شرعياً ولكنه يتم تنفيذه كبرنامج نصي.
أساليب خداع متقدمة
يقوم برنامج AppleScript النصي بفتح نوافذ إعدادات نظام وهمية تعرض أشرطة تقدم تحديث البرامج لتشتيت انتباه المستخدمين أثناء تشغيل التعليمات البرمجية الضارة في الخلفية. يقوم النص البرمجي بجمع معلومات النظام، بما في ذلك بنية وحدة المعالجة المركزية وإصدار macOS، ثم يقوم بتنزيل حمولات إضافية من النطاق المشبوه sevrrhst[.]com.
تعتمد قدرة البرمجيات الخبيثة على التهرب من الكشف بشكل كبير على عرض مربعات حوار أذونات النظام المقنعة التي تنتحل صفة تنبيهات أمان macOS. تتضمن هذه المطالبات المزيفة عناصر صور Google لتبدو شرعية، مما يخدع المستخدمين لإدخال كلمات مرور المسؤولين الخاصة بهم.
سرقة البيانات والوصول الدائم
بمجرد إدخال كلمة المرور، يتحقق البرنامج النصي منها مقابل النظام ويقوم على الفور بإرسال بيانات الاعتماد إلى الخادم البعيد باستخدام تشفير Base64. إلى جانب سرقة بيانات الاعتماد، تحاول البرمجيات الخبيثة التحايل على حماية TCC الخاصة بنظام macOS عن طريق حقن عبارات SQL مباشرة في قاعدة بيانات الخصوصية، مما يمنحها بصمت الوصول إلى الكاميرا، وأذونات تسجيل الشاشة، وقدرات مراقبة لوحة المفاتيح.
تتيح آلية المثابرة هذه للمهاجم الحفاظ على وصول طويل الأجل وتنفيذ أوامر اعتباطية عبر بيئة تشغيل Node.js تم إنشاؤها على الجهاز المخترق. تستخدم البنية التحتية التي تدعم هذه الحملة نطاقات يمكن التخلص منها تم تسجيلها في أواخر يناير 2026، مع خادم القيادة على sevrrhst[.]com والذي يحل إلى عنوان IP 88.119.171.59، والذي يستضيف أكثر من عشرة نطاقات خبيثة مماثلة مستخدمة لإعادة استخدام البنية التحتية.