حملة البرامج الضارة ClickFix تستهدف مستخدمي Mac الذين يبحثون عن المساعدة

يقوم المهاجمون بنشر أدلة زائفة لاستكشاف أخطاء macOS على Medium و Craft و Squarespace. الهدف هو جعل المستخدمين يشغلون أوامر في الطرفية تثبت برامج ضارة تستهدف بيانات iCloud وكلمات المرور المحفوظة ومحافظ العملات الرقمية.

نشرت فريق أبحاث الأمان في Microsoft’s Defender النتائج. كانت الحملة مستمرة منذ أواخر عام 2025. وتستهدف مستخدمي Mac الذين يبحثون عن مساعدة في مشاكل شائعة مثل تحرير مساحة على القرص أو إصلاح أخطاء النظام.

بدلاً من تقديم حل شرعي، تخبر الصفحات المستخدمين بنسخ أمر ولصقه في الطرفية. هذا الأمر يقوم بتنزيل وتشغيل برامج ضارة.

تخبر المشاركات المدلسة القراء بنسخ أمر خبيث ولصقه في الطرفية. هذا الأمر يقوم بتنزيل البرامج الضارة وتشغيلها على جهاز الضحية.

تُعرف التقنية باسم ClickFix. إنها هندسة اجتماعية تنقل المسؤولية عن تشغيل الحمولة إلى الضحية. نظرًا لأن المستخدم يشغل الأمر مباشرة في الطرفية، فإن Gatekeeper في macOS لا يفحص الحمولة.

عادةً، يتحقق Gatekeeper من توقيع الكود والتوثيق على حزم التطبيقات المفتوحة عبر Finder، لكن هذه الطريقة تتجنبه تمامًا.

أطلقت المهاجمون ثلاث حملات بنفس الهدف

رصدت Microsoft ثلاثة مثبتات للحملة:

محمل.

سكريبت.

مساعد.

جميعها تجمع بيانات حساسة، وتؤسس استمرارية، وتقوم بنقل المعلومات المسروقة إلى خوادم المهاجم.

تشمل عائلات البرامج الضارة AMOS و Macsync و SHub Stealer. إذا تم تثبيت أي من الثلاثة، فإنها تستهدف بيانات حساب iCloud و Telegram. ثم تبحث عن مستندات وصور خاصة أقل من 2 ميجابايت. وتستخرج مفاتيح محافظ العملات الرقمية من Exodus و Ledger و Trezor، وتسرق أسماء المستخدمين وكلمات المرور المحفوظة من Chrome و Firefox.

بعد التثبيت، يعرض البرنامج الضار مربع حوار مزيف ويطلب كلمة مرور النظام لتثبيت “أداة مساعدة”. إذا أدخل المستخدم كلمة المرور، يحصل المهاجم على وصول كامل إلى الملفات وإعدادات النظام.

في بعض الحالات، وجد الباحثون أن المهاجمين حذفوا تطبيقات محافظ العملات الرقمية الشرعية واستبدلوها بنسخ تروجان مصممة لمراقبة المعاملات وسرقة الأموال.

كان Trezor Suite و Ledger Wallet و Exodus من بين التطبيقات الرئيسية المستهدفة في هذا الهجوم.

تتضمن حملة المحمل أيضًا مفتاح إيقاف. يتوقف البرنامج الضار عن التنفيذ إذا اكتشف وجود تخطيط لوحة مفاتيح روسي.

راقب الباحثون الأمنيون استخدام المهاجمين لأوامر curl و osascript وغيرها من أدوات macOS الأصلية لتشغيل الحمولة مباشرة في الذاكرة. هذه طريقة بدون ملفات تجعل الكشف عنها أصعب لأدوات مكافحة الفيروسات التقليدية.

يستهدف المهاجمون مطوري العملات الرقمية

اكتشف باحثو الأمان من ANY[.]RUN عملية لمجموعة Lazarus تسمى “Mach-O Man”. استخدم القراصنة نفس تقنية ClickFix من خلال دعوات اجتماعات مزيفة. استهدفوا أنظمة fintech والعملات الرقمية حيث يكون macOS شائعًا.

نشرت Cryptopolitan عن حملة PromptMink.

تم إدخال حزمة npm خبيثة في مشروع تداول عملات رقمية بواسطة مجموعة كوريا الشمالية المعروفة باسم Famous Chollima من خلال تغيير مولد بواسطة الذكاء الاصطناعي. باستخدام نهج حزمة ذو طبقتين، حصلت البرامج الضارة على وصول إلى بيانات المحافظ وأسرار النظام.

تُظهر كلتا الحملتين أن بيانات محافظ العملات الرقمية ذات قيمة. المهاجمون يكيفون طرق توصيلهم من منشورات مدونة مزيفة إلى اختراقات سلسلة التوريد المدعومة بالذكاء الاصطناعي للوصول إليها.

إذا كنت تقرأ هذا، فأنت بالفعل في المقدمة. ابقَ هناك مع نشرتنا الإخبارية.