حذّر باحثون أمنيون من حملة إلكترونية جديدة تستهدف مستخدمي نظام macOS عبر خدعة تسمى ClickFix، حيث يتم خداع الضحايا لتنزيل برنامج ضار يُعرف باسم Atomic macOS Stealer (AMOS)، المصمم لسرقة كلمات المرور والبيانات الحساسة.
كيف تعمل الهجمات؟
-
الاستدراج عبر مواقع مزيفة:
-
ينشئ المهاجمون نطاقات مشابهة لاسم مزود خدمة الإنترنت الأمريكي Spectrum
-
عند زيارة الموقع، يُطلب من المستخدم إكمال تحقق hCaptcha якобы لـ”مراجعة أمان الاتصال”.
-
-
الخدعة الاجتماعية (Social Engineering):
-
بعد النقر على “I am human”، تظهر رسالة خطأ: “فشل التحقق”، مع عرض خيار “التحقق البديل”.
-
يؤدي النقر على هذا الخيار إلى نسق أمر ضار في الحافظة (Clipboard)، ثم توجيه المستخدم لفتح Terminal وتنفيذ سكريبت خبيث.
-
-
تنفيذ الهجوم:
-
يطلب السكريبت من المستخدم إدخال كلمة مرور النظام، ثم يقوم بتنزيل وتثبيت برنامج AMOS لسرقة البيانات.
-
أخطاء تكشف استعجال المهاجمين
-
تظهر أوامر غير متطابقة مع نظام التشغيل (مثل عرض أوامر PowerShell لمستخدمي macOS).
-
وجود تعليقات برمجية باللغة الروسية في الشفرة المصدرية للبرنامج الضار، مما يشير إلى أن المجموعة المسؤولة ناطقة بالروسية.
لماذا تُعد “ClickFix” تكتيكًا خطيرًا؟
-
الانتشار الواسع: تُستخدم هذه الطريقة منذ عام لنشر برامج ضارة متعددة (مثل أحصنة طروادة، برامج الفدية، وسارقي البيانات).
-
المرونة: يمكن تعديلها لمحاكاة خدمات كابتشا أخرى مثل Google reCAPTCHA أو Cloudflare Turnstile.
-
استغلال الثقة: تُحقن الصفحات المزيفة في مواقع شرعية مخترقة لخداع المستخدمين.
أمثلة على هجمات ClickFix حديثة:
-
تزيف Booking.com: هجمات تصيدية ضد قطاعات الفنادق والخدمات الغذائية، تنتهي بتنزيل برامج ضارة مثل XWorm RAT وDanaBot.
-
لافتات “موافقة على الكوكيز” المزيفة: النقر على زر “قبول” يؤدي لتنزيل سكريبت خبيث.
كيف تحمي نفسك؟
-
تجنب النقر على روابط غير موثوقة، خاصةً تلك التي تطلب إدخال بيانات حساسة بعد فشل تحقق الكابتشا.
-
لا تُدخل كلمة مرور النظام إلا في النوافذ الرسمية للتطبيقات الموثوقة.
-
تحقق من النطاق (URL) قبل إدخال أي معلومات — المواقع المزيفة غالبًا ما تحتوي على أخطاء إملائية.
-
استخدم حلول أمنية تكشف السلوك الضار مثل Darktrace أو Cofense.
