كشف فريق Kaspersky Threat Research عن حملة برمجيات خبيثة متطورة تستهدف مستخدمي نظام macOS، وتعتمد على مزيج دقيق من الإعلانات الممولة على محرك بحث Google وإساءة استخدام ميزة مشاركة المحادثات في منصة ChatGPT. وتهدف الحملة إلى خداع الضحايا ودفعهم لتنفيذ أمر واحد عبر واجهة Terminal، يؤدي إلى تثبيت برمجية AMOS الخبيثة، إلى جانب زرع باب خلفي يضمن استمرارية الوصول غير المشروع إلى الجهاز، وسرقة بيانات حساسة قابلة للبيع أو لإعادة توظيفها في هجمات لاحقة أوسع نطاقاً.
إعلان ممول يقود إلى محادثة منشورة تتحول إلى فخ تثبيت
بحسب تحليل كاسبرسكي، قام المهاجمون بشراء إعلانات بحث مدفوعة تستهدف عبارات مثل chatgpt atlas، لتوجيه المستخدمين إلى صفحة على نطاق chatgpt.com تبدو ظاهرياً كدليل رسمي لتثبيت تطبيق مزعوم باسم ChatGPT Atlas for macOS.
غير أن هذه الصفحة لم تكن سوى محادثة مشاركة على ChatGPT، جرى إنشاؤها بعناية باستخدام تقنيات هندسة الأوامر، ثم تنقيحها بحيث لا يظهر للمستخدم سوى خطوات التثبيت، في سياق يبدو شرعياً ومألوفاً.
وتطلب التعليمات من المستخدم نسخ سطر واحد من الشيفرة البرمجية، وفتح واجهة Terminal، ثم لصق الأمر ومنح الأذونات المطلوبة. ويعتمد هذا الأسلوب على أفضلية نفسية واضحة، إذ يتم تبسيط القرار وتحويله إلى إجراء واحد سريع، ما يقلل من فرص التردد أو الشك.
أمر واحد يكفي لتثبيت AMOS وسرقة البيانات
أظهر تحليل الباحثين أن الأمر المنسوخ يقوم بتنزيل سكربت وتشغيله مباشرة من نطاق خارجي هو atlas-extension.com. ويبدأ السكربت بعد ذلك في مطالبة المستخدم بكلمة مرور النظام بشكل متكرر، قبل التحقق من صحتها عبر محاولة تنفيذ أوامر نظام فعلية.
وعند إدخال كلمة المرور الصحيحة، يقوم السكربت بتنزيل وتشغيل برمجية AMOS، المعروفة باسم Atomic macOS Stealer، مستفيداً من بيانات الاعتماد المسروقة لضمان التثبيت والتنفيذ الكامل.
ويمثل هذا التسلسل نموذجاً معدلاً من تقنية ClickFix، حيث يتم إقناع الضحية يدوياً بتنفيذ أوامر لجلب شيفرة خبيثة من خوادم خارجية وتشغيلها دون إدراك العواقب.
سرقة شاملة للبيانات وباب خلفي دائم
بعد التثبيت، تبدأ برمجية AMOS في جمع طيف واسع من البيانات الحساسة. وتشمل هذه البيانات:
- كلمات المرور وملفات تعريف الارتباط وبيانات التصفح من متصفحات شائعة.
- معلومات محافظ العملات المشفرة مثل Electrum وCoinomi وExodus.
- بيانات من تطبيقات محددة، من بينها Telegram Desktop وOpenVPN Connect.
- ملفات نصية ومستندية بصيغ TXT وPDF وDOCX من مجلدات Desktop وDocuments وDownloads، إضافة إلى ملفات مخزنة ضمن تطبيق Notes.
ترسل جميع البيانات المسروقة إلى بنية تحتية خاضعة لسيطرة المهاجمين. وبالتوازي، يزرع الهجوم باباً خلفياً مهيأ للعمل تلقائياً بعد إعادة تشغيل الجهاز، ما يوفر وصولاً عن بعد طويل الأمد إلى النظام المخترق، مع تكرار جزء كبير من منطق جمع البيانات المستخدم في AMOS.
استغلال الذكاء الاصطناعي في سياق تهديدات 2025
تعكس هذه الحملة اتجاهاً أوسع في عام 2025، يتمثل في التصاعد المتسارع لتهديدات infostealers، واعتماد المهاجمين على ثيمات مرتبطة بالذكاء الاصطناعي، وأدوات AI مزيفة، ومحتوى مولد آلياً لتعزيز مصداقية الطعوم.وفي هذا السياق، يبرز نشاط Atlas بوصفه مثالاً واضحاً على إساءة استخدام ميزة مشروعة داخل منصة ذكاء اصطناعي موثوقة، ما يزيد من صعوبة التمييز بين المحتوى الحقيقي والخبيث.
وفي تعليق على الحملة، قال فلاديمير غورسيكي، محلل البرمجيات الخبيثة في كاسبرسكي، إن خطورة هذه الحالة تكمن في “التغليف الاجتماعي للهندسة الاجتماعية داخل سياق مألوف”. وأوضح أن الجمع بين رابط ممول، وصفحة منسقة على نطاق موثوق، ودليل تثبيت يبدو بسيطاً لأنه يختصر كل شيء في أمر واحد داخل Terminal، قد يدفع الكثير من المستخدمين إلى تجاوز حذرهم المعتاد، لينتهي الأمر بسيطرة كاملة على أجهزتهم ومنح المهاجمين وصولاً طويل الأمد.
توصيات أمنية للمستخدمين
توصي كاسبرسكي المستخدمين باتباع الإرشادات التالية:
- التعامل بحذر بالغ مع أي دليل غير متوقع يطلب تشغيل أوامر عبر Terminal أو PowerShell، خاصة عند نسخ سكربت مكون من سطر واحد من صفحة ويب أو مستند أو محادثة.
- إغلاق الصفحات أو حذف الرسائل التي تدفع إلى هذه الخطوات عند وجود أي غموض، وطلب رأي جهة تقنية مختصة قبل المتابعة.
- تحليل الأوامر المشبوهة باستخدام أداة ذكاء اصطناعي أو أداة أمنية مستقلة لفهم ما تفعله الشيفرة قبل تنفيذها.
- تثبيت حلول أمنية موثوقة ومحدثة على جميع الأجهزة، بما في ذلك macOS وLinux، لرصد برمجيات سرقة المعلومات وحظر حمولاتها.
