ظهرت حملة هندسة اجتماعية متطورة تستهدف مستخدمي نظام التشغيل macOS، حيث تقوم بنشر برامج ضارة خطيرة لسرقة البيانات عبر نسخة مطورة من تقنية هجوم “ClickFix”. وتُعرف هذه النسخة بـ “ماتريوشكا” نسبة لدمى التعشيش الروسية، وتستخدم طبقات متعددة من التعتيم لإخفاء الشيفرة الخبيثة عن أدوات الفحص الأمني وأنظمة التحليل الآلي.
وتخدع هذه الحملة الضحايا لدفعهم لتنفيذ أوامر في تطبيق Terminal تبدو وكأنها إصلاحات شرعية للبرامج، متجاوزة بذلك التوقعات الأمنية التقليدية التي يعتمد عليها العديد من المستخدمين عند تنزيل البرامج وتشغيلها.
حملة “ماتريوشكا” تشن هجماتها المتقدمة على مستخدمي macOS
تستغل الحملة نطاقات “typosquatting” لخداع المستخدمين الذين يخطئون في كتابة عناوين المواقع الإلكترونية الشرعية، وتستهدف بشكل خاص الزوار الذين يحاولون الوصول إلى مواقع مراجعات البرامج. وبمجرد إعادة توجيههم إلى النطاق الاحتيالي، يواجه المستخدمون نافذة تثبيت وهمية تطلب منهم لصق أمر “إصلاح” في تطبيق Terminal الخاص بنظام macOS.
وقد اكتشف محللو الأمن هذه السلسلة من الهجمات بعد رصد نطاقات “typosquatting” مثل comparisions[.]org، والتي تحاكي موقع comparisons.org الشرعي بإضافة حرف إضافي. وتختلف “ماتريوشكا” عن النسخ السابقة من “ClickFix” التي كانت تستخدم نصوصاً قابلة للقراءة، حيث تعتمد هذه النسخة على تقنيات تهرب متقدمة تهدف إلى تعقيد جهود الكشف.
آليات الإصابة وتكتيكات التهرب
يبقى الحمولة الخبيثة مشفرة ومضغوطة حتى لحظة التنفيذ، وتنفجر فقط في الذاكرة بدلاً من كتابة ملفات نصية نظيفة على القرص. هذا النهج يقلل بشكل كبير من سهولة اكتشافها بواسطة فحص الملفات ويزيد من صعوبة التحليل الثابت الأساسي للباحثين. وبدلاً من تقديم ملفات نصية بسيطة، تتطلب الحملة استخدام Terminal، مما يشكل خطراً أكبر.
وبعد التنفيذ الناجح، يقوم المحمل بجلب حمولة AppleScript مصممة خصيصاً لسرقة بيانات اعتماد المتصفح واستهداف تطبيقات المحافظ الرقمية، بما في ذلك Trezor Suite و Ledger Live. يسعى البرمجية الخبيثة أولاً إلى سرقة بيانات الاعتماد بشكل برمجي، ثم تعود لعرض مربعات حوار نظام وهمية تطلب كلمات المرور بشكل متكرر حتى يمتثل المستخدمون.
تعمل سلسلة الإصابة في “ماتريوشكا” عبر مراحل متعددة، يسعى كل منها إلى التهرب من الكشف مع الحفاظ على الكفاءة التشغيلية. عندما يلصق الضحايا أمر Terminal الخبيث، فإنه يقوم بجلب نص برمجي Shell يحتوي على حمولة كبيرة مشفرة مخفية داخل بنية “heredoc”. تمر هذه الحمولة عبر مسار في الذاكرة حيث يتم فك تشفيرها وفك ضغطها دون إنشاء آثار ملفات يسهل اكتشافها.
ويظهر المحمل العديد من سلوكيات التهرب الذكية التي تساعده على العمل دون أن يلاحظ. يقوم بفصل روتينه الرئيسي إلى الخلفية ويخرج بسرعة، مما يعيد موجه Terminal فوراً ليبدو للمستخدمين أن العملية قد انتهت. يقوم النص البرمجي بإعادة توجيه تيارات الإدخال القياسي والإخراج والأخطاء لقمع الآثار المرئية في جلسة Terminal. بالإضافة إلى ذلك، تتطلب البنية التحتية للقيادة والتحكم (C2) رؤوساً مخصصة محددة في الطلبات، مع الرد بأخطاء عامة للمسح الآلي الذي يفتقر إلى الأذونات المناسبة.
نصائح لتجنب الهجمات
يجب على المستخدمين عدم لصق الأوامر من مواقع الويب في Terminal أبداً، حيث أن تحديثات البرامج الشرعية لن تتطلب هذا الإجراء. وتنصح الشركات بحظر نطاقات “typosquatting”، ومراقبة أنماط التنفيذ التي يبدأها Terminal، والبحث عن أرشيفات التجميع المشبوهة أو التلاعب بتطبيقات المحافظ.