كشف باحثون أمنيون عن حملة Malvertising جديدة تستغل إعلانات مزيفة على صفحات نتائج بحث جوجل لتوجيه المستخدمين الباحثين عن طرق لتفريغ مساحة تخزين في نظام macOS نحو صفحات احتيالية. هذه الصفحات، المستضافة على منصات معروفة مثل Medium و Evernote و Kimi AI، تقدم تعليمات بأسلوب ClickFix تؤدي في النهاية إلى تنزيل نسخة جديدة من برمجية Atomic Stealer تحت اسم malext، المصممة لسرقة نطاق واسع من البيانات من الأجهزة المصابة.
آلية عمل الحملة
تعتمد الحملة على أكثر من 50 حساباً مخترقاً في خدمة إعلانات جوجل، حيث يتم دفع المستخدمين إلى أكثر من 485 صفحة هبوط خبيثة. بمجرد وصول الضحية إلى هذه الصفحات، يتم تقديم تعليمات مزيفة تشبه الإرشادات التقنية، لكنها في الواقع تؤدي إلى تثبيت برمجية malext على النظام. هذه البرمجية قادرة على سرقة كلمات المرور، بيانات البطاقات، ملفات النظام، والمعلومات الحساسة الأخرى.
دور ClickFix في الهجوم
الأسلوب المستخدم في هذه الحملة يعتمد على ما يُعرف بـ ClickFix، وهو نمط هجوم يقوم بخداع المستخدم عبر خطوات تبدو منطقية لحل مشكلة تقنية، مثل تحرير مساحة التخزين أو تحسين الأداء. لكن هذه الخطوات تنتهي بتنزيل ملف خبيث. هذا النوع من الهجمات يُعتبر فعالاً لأنه يستغل حاجة المستخدم لحل مشكلة فعلية، مما يزيد من احتمالية وقوعه في الفخ.
خطورة استهداف macOS
من اللافت أن الحملة تستهدف بشكل مباشر مستخدمي macOS، وهو نظام يُنظر إليه تقليدياً على أنه أكثر أماناً مقارنة بأنظمة أخرى. لكن ظهور برمجيات مثل Atomic Stealer ونسختها الجديدة malext يثبت أن المهاجمين يطورون أدواتهم باستمرار لمهاجمة جميع المنصات. هذا يعكس تحولاً في مشهد التهديدات السيبرانية، حيث لم يعد أي نظام بمنأى عن الاستهداف.
تصريحات الباحثين
الباحث الأمني المعروف باسم Gi7w0rm أوضح أن هذه الحملة تمثل تطوراً خطيراً في استخدام الإعلانات المخترقة كوسيلة لنشر البرمجيات الخبيثة، مشيراً إلى أن العدد الكبير من الصفحات الخبيثة وحجم البيانات المستهدفة يجعلها واحدة من أبرز حملات Malvertising في الفترة الأخيرة.
