اكتشف فريق أبحاث التهديدات لدى كاسبرسكي حملة برمجيات خبيثة جديدة تستهدف مستخدمي أجهزة “ماك”، وتستخدم هذه الحملة إعلانات البحث المدفوعة في جوجل والمحادثات المشتركة في الموقع الرسمي لبرنامج المحادثة الآلي ChatGPT، وتستغل ذلك لخداع مستخدمي أجهزة ماك ودفعهم إلى تحميل برمجيةAMOS (Atomic macOS Stealer) لسرقة المعلومات، فضلاً عن تثبيت باب خلفي دائم في أجهزتهم.
يشتري المهاجمون في هذه الحملة إعلانات بحث ممولة لعبارات مثل «chatgpt atlas»، ثم يقومون بتوجيه المستخدمين إلى صفحة تبدو وكأنها دليل إرشادي لتثبيت برنامج ChatGPT Atlas على أجهزة macOS، والمستضافة على الموقع الرسمي chatgpt.com. غير أنّ هذه الصفحة مجرد محادثة مشتركة عامة على روبوت المحادثة ChatGPT، وقد أنشئت عبر هندسة الأوامر، ثم نقحها المجرمون ولم يتركوا فيها إلا تعليمات «التثبيت» المذكورة خطوة بخطوة. ويحثّ الدليل الإرشادي المستخدمين على نسخ سطر واحد من الكود البرمجي، وفتح تطبيق Terminal في نظام macOS، ثم إدراج الكود ومنح الأذونات المطلوبة كافة.
يوضح تحليل كاسبرسكي أنّ الكود البرمجي يحمّل ويُشغل نصاً برمجياً من النطاق الخارجي atlas-extension[.]com. ويطالب هذا النص البرمجي المستخدم بإدخال كلمة المرور مراراً وتكراراً، ويحاول التحقق من صحتها بتشغيل أوامر النظام. وحالما يدخل المستخدم الكلمة الصحيحة، يبدأ النص البرمجي تحميل برنامج AMOS لسرقة المعلومات، ويستخدم بيانات تسجيل الدخول المسروقة لتثبيت هذه البرمجية الخبيثة وتشغيلها. وتكون آلية الإصابة نسخة معدلة من تقنية ClickFix؛ إذ يُخدع المستخدمون لتنفيذ أوامر نصية (Shell) لاسترداد وتشغيل تعليمات برمجية من خوادم بعيدة.
جمع بيانات مفيدة للمهاجمين لتحقيق مكاسب مالية
بعدما ينتهي تثبيت برنامج AMOS، فإنّه يباشر جمع بيانات مفيدة للمهاجمين لتحقيق مكاسب مالية منها أو لإعادة استخدامها في عمليات اختراق لاحقة. وتستهدف هذه البرمجية الخبيثة كلمات المرور وملفات تعريف الارتباط ومعلومات أخرى من المتصفحات، وبيانات محافظ العملات الرقمية مثل Electrum وCoinomi وExodus، وبيانات بعض التطبيقات مثل Telegram Desktop وOpenVPN Connect. وتبحث البرمجية الخبيثة عن ملفات بامتدادات TXT وPDF وDOCX ضمن مجلدات سطح المكتب والمستندات والتحميلات، فضلاً عن الملفات المخزنة لتطبيق الملاحظات Notes، ثم تسرب هذه البيانات إلى بنية تحتية تتحكم بها جهة التهديد. وفي الوقت نفسه يثبت المهاجمون بابا خلفياً معداً للعمل تلقائياً عند إعادة التشغيل، فيمنحهم وصولاً عن بعد إلى النظام المخترق، ويعيد تنفيذ كثير من عمليات جمع البيانات التي تقوم بها برمجية AMOS.
تشير هذه الحملة إلى اتجاه أوسع، فقد أصبحت برمجيات سرقة المعلومات من أسرع التهديدات السيبرانية نمواً خلال عام 2025؛ إذ يقوم المهاجمون بتجارب مكثفة عن مواضيع متعلقة بالذكاء الاصطناعي، وأدوات الذكاء الاصطناعي المزيفة، والمحتوى المولد بالذكاء الاصطناعي، ويوظفون ذلك كله لجعل عمليات الخداع أكثر إقناعاً. وشهدت موجات الهجمات الحديثة استخدام نوافذ جانبية مزيفة للمتصفحات تعمل بالذكاء الاصطناعي ووكلاء مزيفين مرتبطين بنماذج شائعة، ويواصل نشاط «Atlas» هذا الاتجاه باستغلاله ميزة مشاركة المحتوى المدمجة في منصة ذكاء اصطناعي شرعية.
يعلق على هذه المسألة فلاديمير غورسكي، محلل البرمجيات الخبيثة لدى كاسبرسكي: «لا تكمن فعالية هذه الحالة في عملية الاستغلال المعقد، بل في أسلوب الهندسة الاجتماعي الذي يقدم في سياق مألوف خاص بالذكاء الاصطناعي. فالرابط الإعلاني يقود المستخدمين إلى صفحة مصممة بشكل احترافي على نطاق موثوق، فيجدون «دليل تثبيت» أمر برمجي واحداً ينفذ في Terminal. ولعل مزيج الثقة والبساطة يدفع المستخدمين إلى التخلي عن حذرهم المعتاد، مما يؤدي إلى اختراق كامل للنظام ومنح المهاجمين وصولاً طويل الأمد»
توصي كاسبرسكي المستخدمين باتباع ما يلي:
- تعامل بحذر شديد مع أي «دليل إرشادي توجيهي» غير مرغوب فيه يطالبك بتشغيل أوامر Terminal أو PowerShell، لا سيما إذا طلب منك نسخ ولصق سطر برمجي واحد من موقع ويب أو مستند أو محادثة.
- أغلق الصفحات أو احذف الرسائل التي تطالب بإجراءات كهذه إذا كانت التعليمات غير واضحة، واستعن بشخص خبير وموثوق قبل المتابعة.
- احرص على نسخ النص البرمجي المشبوه في أداة ذكاء اصطناعي أو أداة أمان لفهم وظيفة النص قبل تشغيله.
- احرص على تثبيت برنامج أمني موثوق على جميع الأجهزة التي تستخدمها، مثل الأجهزة العاملة بنظامي macOS ولينكس. يمكنك استخدام برنامج Kaspersky Premium، الذي يكتشف ويحظر برمجيات سرقة المعلومات والبرمجيات الخبيثة المرتبطة بها.
