حملة خبيثة تستهدف أجهزة macOS عبر ميزة مشاركة محادثات ChatGPT

اكتشف فريق أبحاث التهديدات لدى كاسبرسكي حملة برمجيات خبيثة جديدة تستهدف مستخدمي أجهزة "ماك"، وتستخدم هذه الحملة إعلانات البحث المدفوعة في جوجل والمحادثات المشتركة في الموقع الرسمي لبرنامج المحادثة الآلي ChatGPT، وتستغل ذلك لخداع مستخدمي أجهزة ماك ودفعهم إلى تحميل برمجيةAMOS (Atomic macOS Stealer)  لسرقة المعلومات، فضلاً عن تثبيت باب خلفي دائم في أجهزتهم.

مشاركة محادثات ChatGPT

يشتري المهاجمون في هذه الحملة إعلانات بحث ممولة لعبارات مثل «chatgpt atlas»، ثم يقومون بتوجيه المستخدمين إلى صفحة تبدو وكأنها دليل إرشادي لتثبيت برنامج ChatGPT Atlas على أجهزة macOS، والمستضافة على الموقع الرسمي chatgpt.com، غير أنّ هذه الصفحة مجرد محادثة مشتركة عامة على روبوت المحادثة ChatGPT، وقد أنشئت عبر هندسة الأوامر، ثم نقحها المجرمون ولم يتركوا فيها إلا تعليمات «التثبيت» المذكورة خطوة بخطوة. ويحثّ الدليل الإرشادي المستخدمين على نسخ سطر واحد من الكود البرمجي، وفتح تطبيق Terminal في نظام macOS، ثم إدراج الكود ومنح الأذونات المطلوبة كافة. 

وكشف تحليل كاسبرسكي، أن الكود البرمجي يحمل ويُشغل نصاً برمجياً من النطاق الخارجي atlas-extension[.]com، ويطالب هذا النص البرمجي المستخدم بإدخال كلمة المرور مراراً وتكراراً، ويحاول التحقق من صحتها بتشغيل أوامر النظام. 

وحالما يدخل المستخدم الكلمة الصحيحة، يبدأ النص البرمجي تحميل برنامج AMOS لسرقة المعلومات، ويستخدم بيانات تسجيل الدخول المسروقة لتثبيت هذه البرمجية الخبيثة وتشغيلها، وتكون آلية الإصابة نسخة معدلة من تقنية ClickFix؛ إذ يُخدع المستخدمون لتنفيذ أوامر نصية (Shell) لاسترداد وتشغيل تعليمات برمجية من خوادم بعيدة.

وبعدما ينتهي تثبيت برنامج AMOS، فإنّه يباشر جمع بيانات مفيدة للمهاجمين لتحقيق مكاسب مالية منها أو لإعادة استخدامها في عمليات اختراق لاحقة. وتستهدف هذه البرمجية الخبيثة كلمات المرور وملفات تعريف الارتباط ومعلومات أخرى من المتصفحات، وبيانات محافظ العملات الرقمية مثل Electrum وCoinomi وExodus، وبيانات بعض التطبيقات مثل Telegram Desktop وOpenVPN Connect. وتبحث البرمجية الخبيثة عن ملفات بامتدادات TXT وPDF وDOCX ضمن مجلدات سطح المكتب والمستندات والتحميلات، فضلاً عن الملفات المخزنة لتطبيق الملاحظات Notes، ثم تسرب هذه البيانات إلى بنية تحتية تتحكم بها جهة التهديد. وفي الوقت نفسه يثبت المهاجمون بابا خلفياً معداً للعمل تلقائياً عند إعادة التشغيل، فيمنحهم وصولاً عن بعد إلى النظام المخترق، ويعيد تنفيذ كثير من عمليات جمع البيانات التي تقوم بها برمجية AMOS. 

تشير هذه الحملة إلى اتجاه أوسع، فقد أصبحت برمجيات سرقة المعلومات من أسرع التهديدات السيبرانية نمواً خلال عام 2025؛ إذ يقوم المهاجمون بتجارب مكثفة عن مواضيع متعلقة بالذكاء الاصطناعي، وأدوات الذكاء الاصطناعي المزيفة، والمحتوى المولد بالذكاء الاصطناعي، ويوظفون ذلك كله لجعل عمليات الخداع أكثر إقناعاً. وشهدت موجات الهجمات الحديثة استخدام نوافذ جانبية مزيفة للمتصفحات تعمل بالذكاء الاصطناعي ووكلاء مزيفين مرتبطين بنماذج شائعة، ويواصل نشاط «Atlas» هذا الاتجاه باستغلاله ميزة مشاركة المحتوى المدمجة في منصة ذكاء اصطناعي شرعية.
 

ويعلق على هذه المسألة فلاديمير جورسكي، محلل البرمجيات الخبيثة لدى كاسبرسكي: «لا تكمن فعالية هذه الحالة في عملية الاستغلال المعقد، بل في أسلوب الهندسة الاجتماعي الذي يقدم في سياق مألوف خاص بالذكاء الاصطناعي. فالرابط الإعلاني يقود المستخدمين إلى صفحة مصممة بشكل احترافي على نطاق موثوق، فيجدون «دليل تثبيت» أمر برمجي واحداً ينفذ في Terminal. ولعل مزيج الثقة والبساطة يدفع المستخدمين إلى التخلي عن حذرهم المعتاد، مما يؤدي إلى اختراق كامل للنظام ومنح المهاجمين وصولاً طويل الأمد»