أصدرت شركة مايكروسوفت تحذيرًا أمنيًا بشأن توسع هجمات سرقة المعلومات (Infostealers) لتشمل بيئة Apple macOS، بعد أن كانت تركز سابقًا على أنظمة ويندوز. وأوضحت أن المهاجمين باتوا يعتمدون على لغات متعددة المنصات مثل Python، ويستغلون منصات موثوقة لتوزيع البرمجيات الخبيثة على نطاق واسع.
فريق أبحاث الأمن في Microsoft Defender رصد منذ أواخر عام 2025 حملات تستهدف macOS باستخدام تقنيات الهندسة الاجتماعية مثل ClickFix، حيث يتم توزيع مثبتات بصيغة DMG لنشر عائلات من البرمجيات الخبيثة مثل Atomic macOS Stealer (AMOS) وMacSync وDigitStealer.
تقنيات متقدمة لسرقة البيانات
الهجمات المكتشفة اعتمدت على أساليب متطورة مثل التنفيذ بدون ملفات، واستخدام أدوات macOS الأصلية، وأتمتة AppleScript، ما سمح بسرقة بيانات حساسة تشمل:
- بيانات اعتماد متصفحات الويب وجلسات التصفح.
- مفاتيح iCloud Keychain.
- أسرار المطورين والمعلومات المخزنة في بيئات العمل.
وتبدأ هذه السلاسل الهجومية غالبًا من خلال إعلانات خبيثة على منصات مثل Google Ads، حيث يتم توجيه المستخدمين الباحثين عن أدوات الذكاء الاصطناعي أو برامج مثل DynamicLake إلى مواقع مزيفة تستخدم أسلوب ClickFix لخداعهم وتثبيت البرمجيات الضارة.
حملات مرتبطة بجهات تهديد مختلفة
من بين البرمجيات التي رصدتها مايكروسوفت PXA Stealer المرتبط بجهات تهديد ناطقة بالفيتنامية، والقادر على جمع بيانات تسجيل الدخول والمعلومات المالية وبيانات المتصفح. وقد تم رصد حملتين له في أكتوبر وديسمبر 2025، اعتمدتا على رسائل تصيد بالبريد الإلكتروني للوصول الأولي.
كما استخدم المهاجمون مفاتيح تشغيل السجل (Registry Run Keys) والمهام المجدولة لضمان الاستمرارية، إضافة إلى تطبيق Telegram كقناة للتحكم والسيطرة وتسريب البيانات.
وفي سياق مشابه، تم توثيق استغلال تطبيقات مراسلة شهيرة مثل WhatsApp لنشر برمجيات مثل Eternidade Stealer بهدف الوصول إلى الحسابات المالية وحسابات العملات الرقمية، وذلك وفق تقارير LevelBlue/Trustwave في نوفمبر 2025.
هجمات عبر برامج مزيفة وتقنيات SEO
الهجمات لم تقتصر على macOS، إذ رُصدت أيضًا حملات عبر برامج مزيفة مثل محرر Crystal PDF، حيث يتم توزيعها باستخدام تقنيات Malvertising وSEO Poisoning عبر إعلانات غوغل، لتثبيت برمجيات خبيثة على أنظمة ويندوز قادرة على جمع بيانات حساسة من متصفحات مثل Mozilla Firefox وGoogle Chrome.
توصيات أمنية لمواجهة التهديد
مايكروسوفت شددت على ضرورة توعية المستخدمين بمخاطر الهندسة الاجتماعية، خاصة سلاسل إعادة التوجيه عبر الإعلانات الخبيثة، والمثبتات المزيفة، وأساليب ClickFix التي تعتمد على نسخ ولصق الأوامر. كما أوصت المؤسسات بمراقبة الأنشطة المشبوهة في Terminal، والتحقق من الوصول إلى iCloud Keychain، إضافة إلى مراقبة حركة الشبكة بحثًا عن طلبات مشبوهة إلى نطاقات جديدة أو غير موثوقة.
وأكدت الشركة أن التعرض لهذه البرمجيات قد يقود إلى اختراق البيانات، والوصول غير المصرح به إلى الأنظمة الداخلية، وهجمات BEC، إضافة إلى تهديدات سلسلة التوريد وهجمات الفدية، ما يجعل هذه الفئة من البرمجيات واحدة من أخطر التحديات الأمنية في المرحلة الراهنة.
