أفادت تقارير أمنية جديدة عن حملة إعلانات خبيثة ناشطة تستهدف مستخدمي أنظمة macOS عالمياً، وتقوم بتوزيع سلالة جديدة من برامج سرقة المعلومات تُعرف بـ “malext” كجزء من عائلة برمجيات AMOS الخبيثة. تستغل هذه الحملة الإعلانات المدفوعة على محركات البحث، خاصة جوجل، لتوجيه الضحايا إلى صفحات ويب زائفة تدعي تقديم حلول لمشاكل تقنية، وتحديداً فيما يتعلق بتنظيف مساحة التخزين، مما يؤدي في النهاية إلى تثبيت برنامج السرقة على أجهزتهم.
بدأت هذه الحملة في الظهور عندما صادف مستخدم لنظام macOS، أثناء بحثه عن حلول لتنظيف جهازه، نتائج بحث تتصدرها تدوينة مزيفة على منصة Medium. بدت التدوينة وكأنها دليل إرشادي شرعي، وتضمنت أمراً جاهزاً للصق في نافذة الأوامر الطرفية كجزء من “الحل”. لم ينمُ الشك لدى المستخدم إلا عندما بدأ جهازه يطلب كلمة مرور المدير بشكل متكرر، مما أنذر بخطر اختراق كامل للنظام.
حملة إعلانات خبيثة تستهدف مستخدمي macOS
كشف محلل الأمن السيبراني الملقب بـ Gi7w0rm عن تفاصيل هذه الحملة بعد تواصله مع الباحث @itspappy، الذي قدم دليلاً أساسياً حول انتشار برمجيات خبيثة لأنظمة macOS عبر تكتيكات مشابهة لـ ClickFix، مرتبطة بإعلانات جوجل المخترقة. باستخدام أداة شفافية الإعلانات الخاصة بجوجل، تمكن الباحثون من رصد أكثر من 34 سلسلة هجوم نشطة وأكثر من 53 حساب إعلانات لجوجل تم اختراقها.
يشير حجم هذه العملية إلى تورط محتمل لمجموعة إجرامية منظمة كبرى، يُرجح أنها تنتمي إلى شبكات “Traffer” المعروفة. لم تقتصر المواقع التي استضافت المقالات المزيفة على Medium فحسب، بل شملت أيضاً منصات مثل Evernote و mssg.me و kimi.com، وهي خدمات لا تتطلب تحققاً صارماً من هوية المستخدم. اللافت أن المهاجمين كانوا يستبدلون المقالات الخبيثة فور إزالتها، مما يدل على استمرارية العملية وتنظيمها.
آلية الهجوم وانتشار برنامج “malext”
تحاكي هذه الصفحات المزيفة أدلة مساعدة حقيقية، حيث توجه الضحايا عبر خطوتين تنتهيان بإدخال أمر برمجي ضار في نافذة الأوامر الطرفية. الأمر النهائي، وهو “malext”، يعتبر سلالة جديدة من AMOS (Atomic macOS Stealer)، وقد سُمي بهذا الاسم نسبة إلى نطاق القيادة والتحكم (C2) malext[.]com المدمج في ملفات البرمجية الخبيثة. بمجرد تفعيله، يقوم البرنامج بجمع بيانات حساسة.
تشمل البيانات المسروقة بيانات اعتماد المتصفح، والملاحظات المخزنة في Apple Notes، وملفات تعريف الارتباط لمتصفح Safari، وبيانات محافظ العملات المشفرة، وجلسات Telegram، ومفاتيح جهاز macOS. بالإضافة إلى ذلك، يقوم البرنامج بإنشاء أبواب خلفية لتطبيقات مثل Ledger و Trezor عن طريق استبدالها بإصدارات معدلة، مما يمنح المهاجمين وصولاً مستمراً إلى الأصول المالية للضحية.
داخل سلسلة الهجوم: الإصابة والمثابرة
تبدأ عملية الإصابة عندما يقوم المستخدم بلصق الأمر البرمجي من صفحة الاستدراج. يقوم فك تشفير الأمر المشفر بنظام Base64 بإظهار طلب curl يقوم بتنزيل سكربت عن بعد، والذي يستخدم تقنية مزدوجة للتعتيم عبر Base64 و gzip، وهي تقنية نادرة. بعد فك التشفير الكامل، يقوم الأمر الفعلي بتنزيل ملف ثنائي بصيغة MachO إلى المسار /tmp، ثم يتجاوز آلية حماية Gatekeeper الخاصة بنظام macOS باستخدام أمر xattr -c، ويقوم بتشغيل الملف دون أي تنبيه للمستخدم.
قبل تشغيل برنامج السرقة، يقوم الملف الثنائي MachO، المبني لكلا المعماريتين ARM و x86-64، بتنفيذ فحص للكشف عن البيئات الافتراضية (VM). يستخدم هذا الفحص تشفيراً بنمط قيصر، حيث يستعلم عن معلومات النظام لكشف علامات QEMU أو VMware أو KVM. كما يبحث عن مؤشرات أجهزة نموذجية لبيئات العزل (Sandbox) مثل أرقام تسلسلية مزيفة للوحة الأم ومعالجات قديمة بشكل غير عادي. نجح هذا الفحص في منع التنفيذ عبر جميع البيئات الافتراضية الرئيسية التي تم اختبارها.
جمع البيانات والحفاظ على الاستمرارية
عندما لا يتم اكتشاف بيئة عزل، يتم تشغيل الحمولة الرئيسية التي تتكون من 59,444 حرفاً بلغة AppleScript. تقوم هذه الحمولة بإخفاء نافذة الأوامر الطرفية، وجمع تفاصيل الأجهزة، وسرقة كلمة مرور تسجيل الدخول إلى macOS عبر عرض نافذة تثبيت مساعدة مزيفة إذا لم يتم العثور على أي بيانات اعتماد مخزنة. بعد ذلك، يقوم البرنامج بمسح شامل لملفات تعريف المتصفحات، ومحافظ العملات المشفرة، ومفتاح macOS، وجلسات Telegram، وملاحظات Apple، ثم يقوم بضغط جميع البيانات التي تم جمعها في أرشيف مضغوط.
تتم عملية نقل البيانات إلى عنوان IP أساسي هو 38.244.158[.]56، مع عنوان IP احتياطي هو 199.217.98.33. لتأكيد استمرارية عمل البرمجية الخبيثة، يتم تثبيت ما يُعرف بـ LaunchDaemon plist بالاسم com.finder.helper.plist، والذي يعمل كباب خلفي يتم إعادة تشغيله مع كل عملية إعادة تشغيل للجهاز.
benign-use-case-recommendation – يجب على مستخدمي macOS تجنب لصق أوامر طرفية من مقالات عبر الإنترنت، مهما بدت مفيدة. يُنصح دائماً بإبقاء آليات الحماية مثل Gatekeeper و System Integrity Protection مفعلة. كما يجب التعامل بحذر مع أي نتائج بحث تحمل علامة إعلان من جوجل. في حال الاشتباه بوجود إصابة، يُنصح فوراً بإزالة ملفات مثل ~/.pass، ~/.agent، ~/.mainhelper، ~/.username، وإدخال LaunchDaemon com.finder.helper.plist، بالإضافة إلى تغيير جميع كلمات المرور المحفوظة في المتصفحات وإعادة تثبيت تطبيقات محافظ العملات المشفرة المتأثرة من مصادرها الرسمية.