كشفت أبحاث شركة Sophos أن ثلاث حملات مختلفة من نوع ClickFix استخدمت كوسيلة لنشر برمجية خبيثة مخصصة لنظام macOS تُعرف باسم MacSync Infostealer. بخلاف الهجمات التقليدية التي تعتمد على استغلال الثغرات، فإن هذه الحملات تعتمد كلياً على تفاعل المستخدم، حيث يتم خداعه لنسخ أوامر غامضة وتشغيلها في تطبيق Terminal، مما يجعلها فعالة بشكل خاص ضد المستخدمين الذين لا يدركون خطورة تنفيذ أوامر مجهولة المصدر.
تفاصيل الحملات الثلاث
- نوفمبر 2025: استُخدم متصفح وهمي باسم ChatGPT Atlas كطُعم عبر نتائج بحث مدفوعة على جوجل، حيث يتم توجيه المستخدمين إلى موقع مزيف على Google Sites يحتوي زر تنزيل، يعرض لاحقاً تعليمات لفتح Terminal ولصق أمر يؤدي إلى تنزيل سكربت Shell يقوم بتثبيت MacSync بصلاحيات المستخدم.
- ديسمبر 2025: حملة إعلانية خبيثة استغلت روابط مدفوعة مرتبطة بعمليات بحث مثل “تنظيف جهاز ماك”، حيث يتم توجيه الضحايا إلى محادثات مزيفة على موقع OpenAI ChatGPT، ثم إعادة توجيههم إلى صفحات مزيفة شبيهة بـ GitHub لخداعهم بتنفيذ أوامر ضارة.
- فبراير 2026: حملة استهدفت بلجيكا والهند وأجزاء من الأمريكيتين، تضمنت نسخة جديدة من MacSync تدعم تحميل AppleScript ديناميكي وتنفيذ في الذاكرة لتفادي التحليل الساكن وكشف السلوكيات، مما يعقد عملية الاستجابة للحوادث.
قدرات البرمجية وأهدافها
السكربت الخبيث يتصل بخادم محدد مسبقاً لاسترجاع حمولة AppleScript، ويقوم في الوقت نفسه بإخفاء آثار سرقة البيانات. البرمجية قادرة على جمع بيانات واسعة تشمل:
- كلمات المرور والاعتمادات.
- الملفات وقواعد بيانات Keychain.
- العبارات السرية لمحافظ العملات الرقمية.
هذه القدرات تجعلها أداة خطيرة تستهدف مستخدمي macOS، خصوصاً المطورين الذين اعتادوا على نمط تثبيت شرعي مثل curl | sh المستخدم في أدوات مثل Homebrew وRust وnvm، مما يسمح للأوامر الخبيثة بالاختباء في سياق مألوف.
توسع الهجمات وتبني تقنيات جديدة
الحملات الأخيرة لم تقتصر على MacSync فقط، بل شملت توزيع برمجيات أخرى مثل Amatera Stealer، Alien Infostealer على ويندوز، وAtomic Stealer على macOS. كما تبنت مجموعات مثل KongTuke (404 TDS) أسلوب ClickFix لنشر برمجية ModeloRAT عبر مواقع ووردبريس مخترقة، باستخدام أكواد JavaScript خبيثة أو سجلات DNS TXT.
وقد رُصدت أكثر من 250 موقعاً مخترقاً في 12 دولة بينها ألمانيا، البرازيل، الهند، الولايات المتحدة، والمملكة المتحدة، حيث استُخدمت هذه المواقع لنشر برمجيات سرقة بيانات مثل StealC Stealer وVodkaStealer.
