يستغل قراصنة الإنترنت إعلانات بحث جوجل لخداع مستخدمي أجهزة ماك لدفعهم لزيارة مواقع ويب مزيفة تعد بتنظيف أجهزتهم. تظهر هذه الإعلانات المدعومة عندما يبحث المستخدمون عن مصطلحات شائعة مثل “mac cleaner” أو “clear cache macos”، مما يجعلها تبدو شرعية في البداية.
تم تصميم صفحات الهبوط لتشبه الموقع الرسمي لشركة آبل، مع قوائم تنقل وتصاميم مألوفة. ومع ذلك، فإن المظهر الاحترافي يخفي مخططًا خطيرًا يستهدف أصحاب أجهزة ماك غير الحذرين. أثارت تحسينات ماك هذه مخاوف أمنية متزايدة.
مخاطر استغلال إعلانات جوجل لـ “تحسينات ماك”
يستغل منفذو الهجوم تكتيكًا بسيطًا ولكنه فعال: يثق المستخدمون في نظام الإعلانات الخاص بجوجل ويتعرفون على لغة تصميم آبل. عند النقر على هذه الإعلانات، يتم توجيههم إلى صفحات مليئة بتعليمات فنية حول تحرير مساحة القرص أو تثبيت تحديثات النظام.
حدد محللو MacKeeper أن الجهات الفاعلة تستخدم حسابات إعلانات جوجل مخترقة لتشغيل هذه العملية، مما يشير إلى أنها ربما تكون قد اخترقت ملفات تعريف معلنين شرعيين مثل Nathaniel Josue Rodriguez وشركات مثل Aloha Shirt Shop.
كيف يعمل الإصابة بالبرمجيات الخبيثة
يعتمد جوهر هذا الهجوم على أمر بسيط ولكنه قوي بشكل خادع، يتم تقديمه كصيانة شرعية للنظام. عندما يقوم المستخدمون بنسخ ولصق التعليمات المقدمة في تطبيق Terminal الخاص بهم، فإنهم يشغلون عن غير قصد هجوم تنفيذ تعليمات برمجية عن بعد.
تبدأ سلسلة الأوامر بتعليمات تبدو بريئة مثل “تنظيف مساحة تخزين macOS” أو “جارٍ تثبيت الحزم، يرجى الانتظار”، وهي مجرد تكتيكات هندسة اجتماعية مصممة لجعل المستخدمين يشعرون بالثقة في أنهم يقومون بعمل صيانة طبيعية.
تحت هذه الرسائل الودية، يكمن نص مشفر بـ base64 يخفي شفرة الهجوم الحقيقية. يقوم النظام بفك تشفير هذا النص المخفي باستخدام أمر base64، والذي يحوله إلى أمر shell فعلي يقوم بتنزيل برنامج نصي خبيث من خادم بعيد دون علم المستخدم أو موافقته.
بمجرد التنزيل، يقوم هذا البرنامج النصي بالتشغيل بأذونات المستخدم الكاملة، مما يمنح المهاجمين القدرة على تثبيت برامج ضارة، وسرقة مفاتيح SSH، وإنشاء أبواب خلفية للنظام، وتعدين العملات المشفرة، وسرقة الملفات الشخصية، أو تعديل إعدادات النظام الهامة. يستخدم المهاجمون تقنيات تشويش مختلفة لإخفاء مصدر الاتصالات الفعلية، مما يجعل الكشف أكثر صعوبة.
يعتبر هذا النمط من التنزيلات المتنكرة والتنفيذ التلقائي شائعًا للغاية في عمليات البرامج الضارة الاحترافية وهجمات سلسلة التوريد. نجح باحثو MacKeeper في تحديد هذه الإعلانات الخطيرة وتقديم تقارير عنها إلى جوجل، وقد اتخذت الشركة العملاقة إجراءات لإزالتها من نتائج البحث.