مخترقون يستغلون تطبيق خلفيات مزيف وقناة يوتيوب لنشر برمجيات خبيثة

كشفت أبحاث أمنية حديثة عن ظهور برمجية خبيثة جديدة تستهدف مستخدمي نظام macOS، تُعرف باسم “notnullOSX”. تهدف هذه البرمجية، التي تعود أصولها إلى أوائل عام 2026، إلى سرقة العملات المشفرة من المستخدمين الذين يمتلكون أصولاً رقمية تزيد قيمتها عن 10,000 دولار أمريكي.

تتميز “notnullOSX” بآلية انتشار متطورة تعتمد على الهندسة الاجتماعية، حيث يتم توزيعها عبر تطبيق زائف لخلفيات الشاشة وقناة يوتيوب مخترقة. ويعمل المهاجمون باستمرار لتحديث هذه الأساليب لضمان وصولهم إلى ضحايا جدد.

برمجية notnullOSX الخبيثة تستهدف محافظ العملات المشفرة

تم اكتشاف أولى حالات الإصابة ببرمجية “notnullOSX” في 30 مارس 2026، وفقاً لباحثي Moonlock Lab، حيث تركزت الإصابات في فيتنام وتايوان وإسبانيا. وتشير التحليلات إلى أن عملية التوزيع تتضمن عدة طبقات، بدءاً من وثائق جوجل وهمية، مروراً بموقع ويب مصمم ليبدو كأنه يقدم خلفيات شاشة حية، وصولاً إلى استغلال حسابات يوتيوب تم اختراقها.

لا يتم اختيار الضحايا بشكل عشوائي. فقبل استهداف أي شخص، يقوم المشغلون بملء نموذج يحدد عنوان المحفظة الرقمية للضحية، وملفاته الشخصية على وسائل التواصل الاجتماعي، ورصيد محفظته. ويتم رفض أي طلبات تقل عن حاجز الـ 10,000 دولار أمريكي.

آلية الانتشار المبتكرة

تبدأ عملية الهجوم عندما يتلقى الضحية وثيقة جوجل زائفة تحمل عنوان “محمية”. وعند فتحها، يعرض الواجهة رسالة خطأ متعلقة بالتشفير، يُزعم أنها ناتجة عن “موصل واجهة برمجيات تطبيقات جوجل” (Google API Connector) قديم. يظهر خياران لمعالجة المشكلة، وكلاهما يؤدي إلى تحميل وتثبيت البرمجية الخبيثة.

المسار الأول، المسمى “ClickFix”، يعرض أمراً في تطبيق Terminal، وعند لصقه وتشغيله، يقوم بتحميل وتثبيت البرمجية الخبيثة بشكل صامت. أما المسار الثاني، فيعتمد على ملف صورة قرص وهمي يسمى “WallSpace.app”، والذي يتم تقديمه كتطبيق مجاني لخلفيات الشاشة الحية لنظام macOS.

استغلال قنوات متعددة

يتم توجيه حركة المرور إلى الموقع الخبيث عن طريق قناة يوتيوب تم اختراقها، والتي تم تسجيلها في عام 2015. سجلت القناة، التي كانت تتمتع بمشاهدات محدودة في السابق، آلاف المشاهدات خلال أسبوعين فقط بعد نشر مقطع فيديو واحد، مما يشير بقوة إلى اختراقها.

بمجرد تثبيتها، تعمل “notnullOSX” بشكل صامت ومستمر. تقوم باستخراج البيانات من تطبيقات مثل iMessages، وApple Notes، وملفات تعريف الارتباط الخاصة بمتصفح Safari، وكلمات المرور المخزنة، وجلسات Telegram، وكذلك مجموعة واسعة من محافظ العملات المشفرة مثل Bitcoin Core، وExodus، وElectrum.

الأمر الأكثر إثارة للقلق هو وحدة “ReplaceApp” التي تقوم بتبديل تطبيقات المحافظ المادية الشرعية، مثل Ledger Live، بنسخ خبيثة مصممة لاعتراض عبارات الاسترداد (seed phrases) أثناء عملية إعداد المحفظة، وهو أمر من الصعب على العديد من المستخدمين اكتشافه. تحتفظ البرمجية أيضاً باتصال مباشر بالخادم الخاص بالمهاجم، مما يسمح لهم بإرسال تعليمات جديدة إلى الأجهزة المصابة.

كيف تعمل سلسلة الإصابة بـ notnullOSX؟

يعتمد مسار الإصابة “ClickFix” بشكل كبير على الثقة التي يوليها المطورون ومستخدمو العملات المشفرة لتطبيق Terminal. يقوم الأمر المشفر بتنزيل نص برمجي مثبت عبر الإنترنت، والذي بدوره يقوم بتحميل ملف قابل للتنفيذ، ويجعله قابلاً للتنفيذ، ويزيل علامة Gatekeeper الأمنية من Apple، ثم يقوم بإعداد خدمة تعمل تلقائياً عند بدء تشغيل النظام.

بعد ذلك، يتم توجيه المستخدم لمنح “الوصول الكامل إلى القرص” (Full Disk Access) في إعدادات النظام، وهي الخطوة الأكثر أهمية في هذا الهجوم. منح هذا الإذن يلغي فعلياً إطار عمل الشفافية والموافقة والتحكم (TCC) الخاص بنظام macOS.

في العادة، يتطلب هذا الإطار موافقة المستخدم قبل أن تتمكن أي جهة من قراءة البيانات الحساسة. ولكن بمجرد منح “الوصول الكامل إلى القرص”، تتجاوز البرمجية الخبيثة بذكاء متطلبات الموافقة الفردية، وتقوم بقراءة كافة المجلدات المحمية دون إطلاق أي تنبيهات.

أما مسار التوزيع عبر DMG (ملف صورة القرص) من خلال تطبيق “WallSpace” الوهمي، فهو مضلل ولكنه أبسط للمستخدم. عند تحميل صورة القرص، تظهر ثلاثة ملفات: نص برمجي للتثبيت، ملف “اقرأني”، واختصار لـ Terminal. يقوم ملف readme بإرشاد المستخدم خلال الخطوات، بينما يقوم الاختصار بفتح Terminal تلقائياً. النص البرمجي للتثبيت، على الرغم من حجمه، يعرض نفسه ككتلة نصية عادية، وعند فك تشفيرها، يكشف عن نفس البرمجية الخبيثة المستخدمة في مسار ClickFix.

أكدت تحليلات Moonlock Lab أن الملف الثنائي للبرمجية الخبيثة هو ملف Mach-O متعدد المعماريات بحجم 27.74 ميجابايت، مصمم لمعالجات Apple Silicon و Intel Macs. في وقت اكتشافه، تم اكتشافه بواسطة 10 فقط من أصل 64 بائعاً على VirusTotal، مما يعني أن معظم أدوات الكشف القياسية قد تفشل في اكتشافه.

يجب على المستخدمين وفرق الأمن اتخاذ الخطوات التالية للحماية ضد “notnullOSX” والتهديدات المماثلة: تجنب لصق أوامر Terminal من مصادر غير موثوقة. التعامل بحذر مع أي تطبيق يطلب “الوصول الكامل إلى القرص”. التحقق بانتظام من مجلد ~/Library/LaunchAgents/ بحثاً عن أي ملفات غير مألوفة. ويجب على فرق الأمن حظر المراقبة للاتصالات الصادرة إلى عناوين معينة، والإبلاغ عن أي عمليات تقوم بتشغيل أوامر مثل `xattr -rd com.apple.quarantine` من سياق المستعرض أو المستندات.