تنتشر حملة برمجيات خبيثة جديدة تستغل منصات الذكاء الاصطناعي الشائعة لتوصيل أكواد ضارة مباشرة إلى المستخدمين الذين لا يتوقعون ذلك. يستغل المهاجمون النتائج الدعائية على محركات البحث لاستهداف المستخدمين الذين يبحثون عن حلول لمشاكل شائعة في نظام macOS، مثل “كيفية مسح مساحة التخزين على Mac”.
يتم إعادة توجيه هؤلاء المستخدمين إلى روابط محادثات مشتركة مزيفة لمنصات مثل ChatGPT و DeepSeek. تبدو هذه المحادثات وكأنها تقدم تعليمات مفيدة للنظام، ولكنها في الواقع تحتوي على أوامر خبيثة مخفية مصممة لاختراق أجهزة المستخدمين المستهدفة.
حملة برمجيات خبيثة حديثة تستغل الذكاء الاصطناعي
تبدأ عملية الاختراق عندما يصادف المستخدمون محادثة مشتركة تبدو شرعية، والتي تقدم تعليمات خطوة بخطوة لمسح مساحة التخزين على أجهزة Mac. ومع ذلك، تكمن في هذه التعليمات أوامر مشفرة بصيغة base64، وعند تنفيذها، تقوم بتنزيل وتشغيل برنامج برمجيات خبيثة متطور متعدد المراحل.
تكمن براعة هذه التقنية في أنها تتجاوز فحوصات السلامة التي تطبقها عادةً منصات الذكاء الاصطناعي هذه، مما يسمح للمهاجمين بتوصيل تعليمات ضارة وموجهة مباشرة إلى المستخدمين عبر قنوات رسمية.
آلية الاختراق والتصعيد
تبدأ عملية الإصابة ببرنامج نصي bash يطلب من المستخدمين إدخال كلمة مرور نظامهم، متظاهرًا بأنه إجراء للتحقق من بيانات الاعتماد. بمجرد التقاطها، يستخدم البرنامج الخبيث كلمة المرور هذه لتصعيد الامتيازات وتنزيل ملف البرنامج الخبيث الرئيسي من خوادم يتحكم بها المهاجمون.
حدد محللو الأمن في Breakpoint Security هذه العينة بالاسم Shamus، وهو برنامج معروف بسرقة المعلومات وسرقة العملات المشفرة، وقد تم توثيقه على نطاق واسع في مجتمعات الأمن السيبراني.
تكتيك متطور للكشف والتخفي
تكمن دقة البرنامج الخبيث في طبقات التشفير المتعددة وتكتيكات التخفي من الكشف. يستخدم تشفير العمليات الحسابية و XOR جنبًا إلى جنب مع مفك تشفير مخصص بـ 6 بتات لإخفاء الكود الضار عن أدوات التحليل.
يجعل هذا التشويش من الصعب للغاية على باحثي الأمن تحديد وظيفته الحقيقية من خلال التحليل الثابت وحده. بمجرد التثبيت، ينشئ البرنامج الخبيث وصولاً مستمراً للنظام عن طريق إنشاء “LaunchDaemon” يعمل تلقائيًا عند بدء التشغيل.
يضمن هذا استمرار وصول البرنامج الخبيث حتى بعد إعادة تشغيل الكمبيوتر. تركز الوظيفة الأساسية على البيانات الحساسة عبر فئات متعددة، بما في ذلك ملفات تعريف الارتباط الخاصة بالمتصفح وكلمات المرور من Chrome و Firefox و 12 متصفحًا آخر يعتمد على Chromium.
سرقة العملات المشفرة والبيانات الحساسة
يمتد الخطر ليشمل محافظ العملات المشفرة، حيث يستهدف البرنامج الخبيث على وجه التحديد 15 تطبيقًا مختلفًا للمحافظ المكتبية والمحافظ الصلبة، بما في ذلك Ledger Live و Trezor Suite و Exodus و Coinomi و Electrum و Bitcoin Core.
بالإضافة إلى ذلك، يسرق البرنامج الخبيث قاعدة بيانات macOS Keychain بأكملها، وبيانات جلسة Telegram، وملفات تعريف VPN، والملفات من مجلدي سطح المكتب والمستندات. بعد جمعها، يتم ضغط جميع البيانات المسروقة ونقلها إلى خوادم القيادة والتحكم الخاصة بالمهاجم باستخدام اتصالات مشفرة.
تمثل هذه الحملة تطورًا متطورًا في توزيع البرامج الضارة، مما يوضح كيف يواصل المهاجمون إيجاد طرق جديدة للتحايل على الإجراءات الأمنية واختراق أنظمة المستخدمين، مما يشكل تهديدًا متزايدًا في بيئة الأمن السيبراني.