تحذير: قراصنة يستخدمون AppleScript وتقنية ClickFix في هجمات جديدة على macOS
يستخدم قراصنة كوريون شماليون AppleScript وتقنية ClickFix في هجمات جديدة تستهدف نظام macOS
تركّز هذه الحملات على المؤسسات المالية، بما في ذلك العملات المشفّرة، ورأس المال الاستثماري، وكيانات البلوكشين.
استخدم قراصنة كوريون شماليون مجموعة متنوعة من أساليب الهندسة الاجتماعية وتقنيات التمويه في هجمات حديثة استهدفت مستخدمي macOS داخل المؤسسات المالية.
كشفت حملة رصدتها شركة Any.Run عن اعتمادها على تقنية ClickFix سيئة السمعة لخداع مستخدمي macOS ودفعهم إلى تثبيت برمجيات خبيثة لسرقة المعلومات.
قام القراصنة بتنفيذ هذه الهجمات عبر تطبيق تيليجرام، مستهدفين قادة الأعمال، وغالبًا باستخدام حسابات مخترقة لأشخاص معروفين لدى الضحية، مع إرسال دعوات اجتماعات مزيفة.
تم توجيه الضحايا إلى مواقع إلكترونية تحاكي خدمات مثل Zoom و Microsoft Teams و Google Meet، حيث طُلب منهم “إصلاح” مشكلة اتصال مزيفة عبر نسخ وتنفيذ أمر داخل تطبيق Terminal.
أدى ذلك إلى تشغيل ملفات تنفيذية بصيغة Mach-O مبنية بلغة Go، وهي جزء من حزمة برمجيات خبيثة تُعرف باسم Mach-O Man، صُممت لجمع بيانات الاعتماد، وأسرار النظام مثل بيانات Keychain، وجلسات المتصفح. وتم تسريب هذه البيانات عبر تيليجرام.
في حملة أخرى، نسبت مايكروسوفت الهجوم إلى مجموعة Sapphire Sleet، وهي جهة مدعومة من دولة ونشطة منذ عام 2020 على الأقل، وقد اعتمدت على AppleScript لتنفيذ الشيفرة وتفادي الاكتشاف، لكنها أدت إلى نفس النتيجة: تسريب بيانات حساسة.
استخدم القراصنة ملفات تعريف مزيفة لموظفي توظيف على منصات الإنترنت للتواصل مع الضحايا ودعوتهم إلى مقابلات تقنية.
وخلال هذه المقابلات الوهمية، طُلب من الضحايا تثبيت برمجيات خبيثة تتنكر على شكل أدوات مؤتمرات فيديو أو تحديثات لحزم تطوير البرمجيات (SDK).
لا تعتمد هذه الحملة على ClickFix، التي تتطلب من الضحية نسخ أوامر تؤدي إلى الإصابة، بل إن الملف الذي يتم تنزيله — وهو AppleScript مُجمّع — يُفتح تلقائيًا في محرر Script Editor على macOS لتنفيذ أوامر shell مدمجة بشكل عشوائي.
وكجزء من سلسلة إصابة معقدة، يتم تنفيذ عدة حمولات AppleScript، ما يؤدي في النهاية إلى تثبيت عدة أبواب خلفية (Backdoors). كما تركز الهجمة على تحقيق الاستمرارية داخل النظام ورفع مستوى الصلاحيات.
تم تصميم الحمولات المزروعة لتنفيذ عمليات استطلاع للنظام، وحصر التطبيقات المثبتة، وسرقة بيانات تيليجرام، وملفات تعريف المتصفحات وقواعد بياناتها المرتبطة، وقواعد بيانات Keychain، ومحافظ العملات الرقمية، ومفاتيح SSH، وسجل أوامر shell، وقاعدة بيانات Apple Notes، وسجلات النظام.
تعرف على:
- التحقيق الجنائي الرقمي: الدليل الشامل لفهم الأدلة الرقمية ومكافحة الجرائم الإلكترونية
- الحماية من العنف الرقمي: دليل شامل للوقاية والتحقيق والتوثيق
- حماية البيانات الشخصية: دليل شامل لحماية خصوصيتك وأمانك الرقمي
