اكتشف فريق أبحاث التهديدات لدى كاسبرسكي حملة برمجيات خبيثة جديدة تستهدف مستخدمي أجهزة "ماك"، وتستخدم هذه الحملة إعلانات البحث المدفوعة في جوجل والمحادثات المشتركة في الموقع الرسمي لبرنامج المحادثة الآلي ChatGPT، وتستغل ذلك لخداع مستخدمي أجهزة ماك ودفعهم إلى تحميل برمجيةAMOS (Atomic macOS Stealer) لسرقة المعلومات، فضلاً عن تثبيت باب خلفي دائم في أجهزتهم.

يشتري المهاجمون في هذه الحملة إعلانات بحث ممولة لعبارات مثل «chatgpt atlas»، ثم يقومون بتوجيه المستخدمين إلى صفحة تبدو وكأنها دليل إرشادي لتثبيت برنامج ChatGPT Atlas على أجهزة macOS، والمستضافة على الموقع الرسمي chatgpt.com. غير أنّ هذه الصفحة مجرد محادثة مشتركة عامة على روبوت المحادثة ChatGPT، وقد أنشئت عبر هندسة الأوامر، ثم نقحها المجرمون ولم يتركوا فيها إلا تعليمات «التثبيت» المذكورة خطوة بخطوة.

ويحثّ الدليل الإرشادي المستخدمين على نسخ سطر واحد من الكود البرمجي، وفتح تطبيق Terminal في نظام macOS، ثم إدراج الكود ومنح الأذونات المطلوبة كافة.

ويوضح تحليل كاسبرسكي أنّ الكود البرمجي يحمّل ويُشغل نصاً برمجياً من النطاق الخارجي atlas-extension[.]com. ويطالب هذا النص البرمجي المستخدم بإدخال كلمة المرور مراراً وتكراراً، ويحاول التحقق من صحتها بتشغيل أوامر النظام. وحالما يدخل المستخدم الكلمة الصحيحة، يبدأ النص البرمجي تحميل برنامج AMOS لسرقة المعلومات، ويستخدم بيانات تسجيل الدخول المسروقة لتثبيت هذه البرمجية الخبيثة وتشغيلها. وتكون آلية الإصابة نسخة معدلة من تقنية ClickFix؛ إذ يُخدع المستخدمون لتنفيذ أوامر نصية (Shell) لاسترداد وتشغيل تعليمات برمجية من خوادم بعيدة.

وبعدما ينتهي تثبيت برنامج AMOS، فإنّه يباشر جمع بيانات مفيدة للمهاجمين لتحقيق مكاسب مالية منها أو لإعادة استخدامها في عمليات اختراق لاحقة. وتستهدف هذه البرمجية الخبيثة كلمات المرور وملفات تعريف الارتباط ومعلومات أخرى من المتصفحات، وبيانات محافظ العملات الرقمية مثل Electrum وCoinomi وExodus، وبيانات بعض التطبيقات مثل Telegram Desktop وOpenVPN Connect. وتبحث البرمجية الخبيثة عن ملفات بامتدادات TXT وPDF وDOCX ضمن مجلدات سطح المكتب والمستندات والتحميلات، فضلاً عن.....

لقراءة المقال بالكامل، يرجى الضغط على زر "إقرأ على الموقع الرسمي" أدناه

هذا المحتوى مقدم من بوابة الأهرام