حملة إعلانية خبيثة تنشر برمجية AMOS 'malext' لسرقة بيانات مستخدمي نظام macOS

تقوم حملة إعلانية خبيثة متطورة بتوزيع متغير AMOS 'malext'، وهو برنامج لسرقة البيانات يستهدف نظام التشغيل macOS، من خلال محاكاة منصات مشاركة النصوص المشروعة. كشف باحثو الأمن السيبراني في شركة Netskope Threat Labs عن هذه العملية، التي تستفيد من الإعلانات الخبيثة على محركات البحث لإعادة توجيه المستخدمين إلى نطاقات احتيالية تستضيف ملفات DMG خبيثة. تسلط هذه الحملة الضوء على التركيز المتزايد للجهات الفاعلة في مجال التهديدات على منصات شركة Apple، حيث تستهدف مستخدمي العملات المشفرة والعاملين عن بُعد والمحترفين المبدعين.

تبدأ عملية الإعلانات الخبيثة عندما يستعلم المستخدمون عن مصطلحات تتعلق بمشاركة النصوص أو أدوات الحافظة. تظهر إعلانات بحث مدعومة، مما يؤدي إلى نطاقات مشابهة مثل pastedownload[.]com و pastepal[.]app و pastehub[.]online و textshare[.]pro. تستضيف هذه المواقع ملفات DMG متنكرة في شكل تطبيقات مشروعة، مثل "PasteDownload.dmg" أو "PastePal.app.dmg". عند تحميل ملف DMG، يُعرض على المستخدمين مثبت يبدو احترافياً يطالبهم بسحب التطبيق إلى مجلد التطبيقات. ومع ذلك، تحتوي الحزمة على برنامج AMOS 'malext' لسرقة البيانات، والذي ينشط عند التشغيل.

يمثل متغير 'malext' تطوراً لعائلة Atomic macOS Stealer (AMOS)، والتي لوحظت لأول مرة في عام 2023. تم تصميم هذه البرمجية الخبيثة بقدرات واسعة لسرقة بيانات الاعتماد والملفات، بالإضافة إلى استطلاع النظام. تستخرج كلمات المرور من سلسلة مفاتيح نظام macOS باستخدام أداة Chainbreaker وتسرق بيانات اعتماد المتصفح وملفات تعريف الارتباط من متصفحات Chrome و Firefox و Safari و Edge. علاوة على ذلك، فهي تستهدف بشكل خاص محافظ العملات المشفرة، بما في ذلك MetaMask و Phantom و Exodus.

بالإضافة إلى سرقة بيانات الاعتماد، تقوم البرمجية الخبيثة بالاستيلاء على المستندات من مجلدات سطح المكتب والتنزيلات والمستندات، وتستخرج الملفات الحساسة مثل ملفات.txt و.pdf و.docx و.wallet. كما تقوم بجمع معلومات النظام، بما في ذلك المعرف الفريد العالمي للجهاز (GUID) والمعرف الفريد العالمي للأجهزة (UUID) وعنوان IP والموقع، مع حصر التطبيقات المثبتة وإضافات المتصفح. تتم أرشفة البيانات المسروقة في ملفات ZIP وتحميلها إلى خوادم القيادة والسيطرة (C2) التي يتحكم فيها المهاجم عبر بروتوكول HTTPS.

تستخدم البرمجية الخبيثة العديد من تقنيات التهرب لتجنب الاكتشاف. يتم تشفير الحمولات باستخدام XOR وتضمينها في AppleScript لتشويش التعليمات البرمجية. تتجاوز ميزة Gatekeeper باستخدام الثنائيات الموثقة واستحقاق LegitimateAuthority. تتحقق البرمجية الخبيثة أيضاً من الأجهزة الافتراضية والبيئات المعزولة (Sandbox) للتهرب من التحليل، وتقوم بتثبيت LaunchAgent لضمان الاستمرار عبر عمليات إعادة التشغيل.

تبدأ سلسلة الإصابة بإعادة توجيه إعلان خبيث من محرك بحث إلى إعلان مزيف، مما يؤدي إلى نطاق خبيث. يقوم المستخدم بعد ذلك بتنزيل ملف DMG يبدو مشروعاً. تُستخدم تكتيكات الهندسة الاجتماعية، مع مطالبة مثبت مزيف للمستخدم بـ "السحب إلى التطبيقات". يحدث تصعيد الامتيازات عندما يطلب AppleScript كلمة مرور النظام عبر مربع حوار مزيف. بمجرد التنفيذ، تقوم أداة Chainbreaker بإلغاء قفل سلسلة المفاتيح، وتبدأ عملية جمع البيانات. أخيراً، يتم إرسال البيانات المسروقة إلى خوادم C2، مثل malext[.]shop.

يُقيّم باحثو شركة Netskope أن هذه الحملة نشطة منذ أواخر فبراير 2026، مع اكتشاف أكثر من 5000 إصابة في جميع أنحاء أمريكا الشمالية وأوروبا. يستمر نظام AMOS البيئي للبرمجيات الخبيثة كخدمة (MaaS) في التطور، حيث يمثل 'malext' أحدث مستوى اشتراك، بسعر 500 دولار شهرياً.

كيف يمكن للمستخدمين حماية أنفسهم من هذه الحملة؟
يجب على المستخدمين التحقق من مصادر التطبيقات قبل التثبيت، وتمكين Gatekeeper و XProtect، واستخدام برامج مكافحة الفيروسات مع الحماية في الوقت الفعلي، وتجنب تشغيل أوامر موجه الأوامر (Terminal) غير المعروفة.

ما الذي يجب على المؤسسات فعله للتخفيف من هذا التهديد؟
يجب على المؤسسات نشر حلول EDR مع دعم نظام macOS، وحظر النطاقات الخبيثة عبر تصفية DNS، ومراقبة LaunchAgents المشبوهة، وتنفيذ القائمة البيضاء للتطبيقات.

كيف يمكن تعزيز حماية المتصفح؟
يمكن أن يساعد تثبيت أدوات حظر الإعلانات مثل uBlock Origin، وتمكين التصفح الآمن في متصفح Chrome أو Safari، واستخدام ميزات البحث الآمن لمحرك البحث في تعزيز حماية المتصفح.

يؤكد توزيع برنامج AMOS 'malext' لسرقة البيانات عبر إعلانات مشاركة النصوص المزيفة على تحول كبير في مشهد التهديدات، حيث أصبح نظام macOS هدفاً رئيسياً بشكل متزايد. يسلط التغليف الاحترافي للبرمجيات الخبيثة وقدرتها على تجاوز التدابير الأمنية التقليدية مثل Gatekeeper الضوء على ضرورة الكشف السلوكي بدلاً من الأساليب القائمة على التوقيع. مع تطور نظام AMOS MaaS البيئي، حيث يبلغ سعر متغير 'malext' 500 دولار شهرياً، يمكننا أن نتوقع رؤية هجمات أكثر تطوراً واستهدافاً ضد مستخدمي نظام macOS، وخاصة أولئك الذين يتعاملون مع البيانات الحساسة أو العملات المشفرة.