“كليك فيكس” تستغل تطبيقات منزلية آمنة لنشر برمجيات خبيثة على ماك لسرقة بيانات الاعتماد

تستهدف حملة هندسة اجتماعية معقدة مطوري نظام macOS عبر صفحات تثبيت وهمية لـ Homebrew تقوم بنشر Cuckoo Stealer، وهو برمجيات خبيثة شاملة لسرقة بيانات الاعتماد. تعتمد الهجمة على تقنية ClickFix، التي تخدع المستخدمين لتنفيذ أوامر Terminal خبيثة متخفية كـ نصوص برمجية لتثبيت البرامج الشرعية، مما يمثل تهديداً جديداً في عالم الأمن السيبراني.

تستغل هذه الحملة الثقة وسير العمل المألوف للمطورين، بدلاً من استغلال نقاط الضعف التقليدية في البرامج. تتركز العملية حول نطاقات مسجلة بعناية بنفس اسم Homebrew الرسمي، مما يصعب اكتشافها.

خطر ClickFix و Cuckoo Stealer على مطوري macOS

تعتمد الهجمة على صفحات ويب زائفة تحاكي تماماً موقع Homebrew الرسمي. عندما يزور المطورون هذه المواقع الاحتيالية، يجدون ما يبدو أنه أمر تثبيت قياسي مع زر نسخ مضمن.

يختلف الأمر الخبيث عن المثبت الشرعي بتغيير واحد فقط في النطاق، حيث يستبدل raw.githubusercontent.com بـ raw.homabrews.org، وهو تغيير دقيق بما يكفي لتفادي الملاحظة السريعة.

بمجرد تنفيذ النص البرمجي، فإنه يجمع بيانات اعتماد المستخدم عبر حلقة مستمرة من طلب كلمة المرور باستخدام خدمات دليل macOS (macOS Directory Services)، مما يضمن حصول المهاجمين على بيانات اعتماد صالحة قبل نشر حمولة المرحلة الثانية.

حدد محللو Hunt.io هذه الحملة بعد اكتشاف النطاق المسجل بعناية homabrews.org، والذي تم تسجيله في 13 يناير 2026.

كشفت تحليلات البنية التحتية عن وجود ستة نطاقات مترابطة مستضافة على بنية تحتية مشتركة تحت عنوان IP 5.255.123.244، مع وجود أقدم الشهادات التي تعود إلى يوليو 2025.

تستخدم النطاقات تقنيات مختلفة لتشابه الأسماء، بما في ذلك حذف الأحرف، واستبدال الأحرف المزدوجة، واستخدام نطاقات عليا بديلة، لزيادة فعاليتها الخادعة إلى أقصى حد. يعتبر استهداف مطوري macOS بهذه الطريقة أمراً مقلقاً نظراً لحساسية البيانات التي يتعاملون معها.

آلية الإصابة التقنية

تنفذ الهجمة في مرحلتين متميزتين. تتخفى نصوص المرحلة الأولى على أنها مثبت Homebrew شرعي، بينما تتحقق سراً من كلمات مرور المستخدمين عبر الأمر dscl authonly.

تحاكي حلقة التحقق هذه سلوك sudo القياسي بعرض رسالة “عذراً، حاول مرة أخرى” لكلمات المرور غير الصحيحة، لتجنب إثارة الشبهات.

بمجرد الحصول على بيانات اعتماد صالحة، يقوم النص البرمجي بتنزيل ملف تنفيذي اسمه brew_agent، يقوم بتشفير كلمة المرور المسروقة بتنسيق Base64 وتمريرها كمعامل للوصول الفوري إلى موارد النظام المحمية.

يقوم Cuckoo Stealer بإنشاء استمرارية عبر نظام macOS LaunchAgent، متخفياً باسم com.homebrew.brewupdater.plist ليختلط مع عمليات النظام الشرعية.

تطبق البرمجيات الخبيثة تقنيات متعددة لمكافحة التحليل، بما في ذلك التصفية المستندة إلى الإعدادات المحلية التي تمنع التنفيذ على الأنظمة المهيأة لدول رابطة الدول المستقلة، وخاصةً منع العناوين المحلية الأرمينية والبيلاروسية والكازاخستانية والروسية والأوكرانية.

يتم تشفير جميع السلاسل الحساسة باستخدام تشفير XOR مع دوران مفتاح قائم على الفهرس لتجنب التحليل الثابت والكشف عن التوقيعات.

تستخدم البنية التحتية للقيادة والتحكم (C2) اتصالات HTTPS مشفرة مع تبادل مفاتيح Diffie-Hellman بالمنحنى الإهليلجي X25519 لتشفير الجلسة.

تعمل البرمجيات الخبيثة كحصان طروادة وصول عن بعد شامل يتمتع بقدرات تتضمن تنفيذ أوامر shell، وإعادة تشغيل النظام، وآليات التدمير الذاتي، وخيوط استخراج البيانات المنظمة.

تستهدف بيانات اعتماد المتصفح من جميع المتصفحات الرئيسية لنظام macOS، وامتدادات محافظ العملات المشفرة بما في ذلك Coinbase Wallet و Phantom Wallet، وقواعد بيانات macOS Keychain، وتطبيقات الملاحظات من Apple، وتطبيقات المراسلة مثل Discord و Telegram، وأكثر من 20 تطبيقاً لمحافظ العملات المشفرة.