أصدرت شركة Microsoft تحذيراً تقنياً موسعاً حول تطور نشاط برمجيات سرقة المعلومات (Infostealers)، مشيرة إلى خروجها من إطار استهداف نظام Windows المعتاد نحو اختراق أجهزة macOS.
وتعتمد هذه الهجمات على أساليب توزيع مبتكرة تشمل إعلانات ممولة، وخدعاً اجتماعية، وملفات تثبيت مزيفة، مستغلة لغة البرمجة Python لتسريع وتيرة تطوير البرمجيات الخبيثة وتسهيل نقلها بين المنصات المختلفة.
استهداف ممنهج عبر ClickFix وملفات DMG
أفاد تقرير صادر عن فريق أبحاث الأمن في Microsoft Defender، نشر يوم الأحد 2 فبراير 2026، برصد حملات موجهة ضد مستخدمي macOS منذ أواخر عام 2025. وتستخدم هذه الحملات أسلوباً يعرف بـ ClickFix، الذي يعتمد على إقناع المستخدم بنسخ أوامر برمجية ولصقها في واجهة السطر البرمجي، أو تحميل ملفات بصيغة DMG تبدو رسمية، ما يمنح البرمجيات الخبيثة صلاحية جمع البيانات الحساسة من المتصفحات والنظام وبيئات التطوير.
وتوضح الشركة أن سلسلة الإصابة تبدأ من نقاط تماس يومية يصعب تمييزها، منها:
- إعلانات Google: تقود الباحثين عن أدوات تقنية محددة إلى مواقع مزيفة.
- مواقع احتيالية: تعرض تنزيل برامج أو تطلب تنفيذ خطوات تقنية بذريعة حل مشكلات برمجية، وتدفع المستخدم لتشغيل أوامر خبيثة يدوياً.
- حزم DMG ملغومة: تتخفى في هيئة أدوات إنتاجية أو تطبيقات للذكاء الاصطناعي لنشر برمجيات التجسس.
عائلات برمجية وتنوع في مسارات التهديد
حدد التقرير 3 حملات كبرى استهدفت نظام macOS باستخدام عائلات برمجية مختلفة:
- DigitStealer: تنتشر عبر مواقع تنتحل صفة برمجيات مثل DynamicLake.
- MacSync: تعتمد على أسلوب ClickFix لتنفيذ أوامر مباشرة في النظام.
- Atomic macOS Stealer (AMOS): تستخدم مثبتات مزيفة لأدوات الذكاء الاصطناعي.
وتتقاطع هذه البرمجيات في أهدافها، حيث تركز على سرقة كلمات مرور المتصفح، وبيانات جلسات الدخول، ومحافظ العملات المشفرة، والاعتمادات السحابية، بالإضافة إلى مفاتيح الوصول الخاصة بالمطورين.
تفوق Python في العمليات الخبيثة
أشارت Microsoft إلى توجه متصاعد لبناء برمجيات السرقة باستخدام لغة Python؛ نظراً لما توفره من سرعة في التطوير وخفض للتكاليف التشغيلية للمهاجمين، وقدرة عالية على التكيف مع أنظمة التشغيل المختلفة. وتصل هذه البرمجيات عادةً عبر رسائل التصيد الاحتيالي، لتشرع في جمع رموز المصادقة (Tokens)، وملفات تعريف الارتباط (Cookies)، وبيانات بطاقات الدفع.
ومن أبرز الأمثلة برمجية PXA Stealer، المرتبطة بجهات تهديد ناطقة بالفيتنامية، حيث رُصدت حملتان في أكتوبر وديسمبر 2025، اعتمدتا على التصيد كبوابة دخول، ثم ثبتتا وجودهما في النظام عبر مفاتيح التشغيل التلقائي، مع استخدام تطبيق تليغرام كقناة للتحكم وتسريب البيانات المسروقة.
استغلال المنصات الموثوقة وهجمات سلاسل التوريد
تطرق التقرير إلى نمط استغلال ثقة المستخدمين في الخدمات الواسعة الانتشار؛ ففي نوفمبر 2025، رصد نشاط لنشر برمجية Eternidade Stealer عبر تطبيق واتساب، من خلال إرسال ملفات خبيثة تلقائياً من حسابات مخترقة إلى جهات الاتصال. كما تم رصد حملة في سبتمبر 2025 استهدفت محركات البحث (SEO poisoning) للترويج لبرنامج مزيف لتحرير ملفات PDF يسمى Crystal PDF، تخصص في سرقة بيانات متصفحي Chrome وFirefox.
وحذرت الشركة من أن خطر هذه البرمجيات يتجاوز الأفراد ليصل إلى المؤسسات، حيث تمهد الطريق لاختراق البريد الإلكتروني للأعمال (BEC)، وتنفيذ هجمات الفدية، واختراق سلاسل التوريد عبر الوصول إلى أسرار المطورين وبياناتهم المهنية.
توصيات للوقاية والمواجهة
شددت Microsoft على ضرورة اتباع استراتيجية حماية ثنائية المحاور:
- المحور التوعوي: تدريب المستخدمين على كشف الإعلانات المضللة، والحذر من تحميل ملفات DMG غير الموثوقة أو تنفيذ أوامر مجهولة في الـ Terminal.
- المحور التقني: تفعيل المراقبة الدقيقة لسلوك النظام، وتدقيق طلبات الوصول إلى سلسلة المفاتيح (Keychain) أو سحابة iCloud، ومراقبة حركة الشبكة الصادرة نحو نطاقات مشبوهة أو حديثة التسجيل.
