اكتشف فريق أبحاث التهديدات لدى شركة «كاسبرسكي» حملة خبيثة جديدة تستهدف مستخدمي أجهزة «ماك»، تعتمد في أساليبها على إعلانات البحث الممولة في محرك «جوجل» وعلى خاصية مشاركة المحادثات في الموقع الرسمي لبرنامج المحادثة الآلي «ChatGPT»، بهدف خداع المستخدمين ودفعهم إلى تنزيل برمجية «AMOS» (اختصار: Atomic macOS Stealer) المخصصة لسرقة المعلومات، مع تثبيت باب خلفي دائم يمنح المهاجمين وصولاً مستمراً إلى الأجهزة المصابة.

وأوضحت «كاسبرسكي» أن المهاجمين يشترون إعلانات ممولة لعبارات بحث من بينها «chatgpt atlas»، ثم يُعاد توجيه المستخدمين إلى صفحة تبدو كأنها دليل إرشادي لتثبيت برنامج «ChatGPT Atlas» على أجهزة macOS، والمحتوى مستضاف على النطاق الرسمي chatgpt.com. غير أن الصفحة في حقيقتها محادثة مشتركة عامة أنشئت عبر هندسة الأوامر، وقام الفاعلون بتنقيحها وحذف كل ما عدا خطوات «التثبيت» المزعومة. ويحث «الدليل» المستخدم على نسخ سطرٍ واحد من الأوامر البرمجية، وفتح تطبيق Terminal في نظام macOS، ثم لصق الأمر ومنح الأذونات كافة.

وبيّنت تحليلات الشركة أن الأمر البرمجي يقوم بتنزيل وتشغيل نصّ برمجي من النطاق الخارجي atlas-extension[.]com، حيث يطلب هذا النص من المستخدم إدخال كلمة المرور على نحوٍ متكرر، ويحاول التحقق من صحتها عبر تنفيذ أوامر نظامية. وما إن تُدخل كلمة المرور الصحيحة حتى يبدأ النص في تنزيل برمجية «AMOS» لسرقة المعلومات، مستفيداً من بيانات الاعتماد التي جرى الحصول عليها لتثبيت البرمجية وتشغيلها. وتُعد آلية الإصابة نسخة معدّلة من تقنية «ClickFix»، إذ يُستدرج المستخدم لتنفيذ أوامر نصية (Shell) بغرض جلب تعليمات برمجية من خوادم بعيدة وتشغيلها.

وعقب اكتمال تثبيت «AMOS»، تباشر البرمجية جمع بيانات ذات قيمة للمهاجمين بقصد تحقيق مكاسب مالية أو لإعادة استخدامها في عمليات اختراق لاحقة. وتشمل البيانات المستهدفة كلمات المرور وملفات تعريف الارتباط ومعلومات أخرى من المتصفحات، وبيانات محافظ العملات الرقمية مثل Electrum وCoinomi وExodus، وبيانات بعض التطبيقات مثل Telegram Desktop وOpenVPN Connect. كما تبحث البرمجية عن ملفات بامتداد TXT وPDF وDOCX ضمن مجلدات سطح المكتب والمستندات والتنزيلات، إضافة إلى الملفات المخزّنة لتطبيق الملاحظات (Notes)، ثم تُسرَّب هذه البيانات إلى بنية تحتية خاضعة لجهة التهديد. وبالتوازي، يثبّت المهاجمون باباً خلفياً مُعَدّاً للعمل تلقائياً عند إعادة التشغيل، بما يتيح لهم وصولاً عن بُعد إلى النظام المخترق وإعادة تنفيذ كثير من عمليات الجمع التي تنفذها «AMOS».

وتؤشر هذه الحملة إلى اتجاهٍ أوسع في مشهد التهديدات؛ إذ أصبحت برمجيات سرقة المعلومات من أسرع التهديدات السيبرانية نمواً خلال عام 2025، مع تكثيف المهاجمين تجاربهم على موضوعات مرتبطة بالذكاء الاصطناعي، بما في ذلك أدوات مزيفة ومحتوى مُولّد بالذكاء الاصطناعي، لتبدو أساليب الخداع أكثر إقناعاً. وشهدت موجات الهجمات الحديثة ظهور نوافذ جانبية مزيفة للمتصفحات تعمل بالذكاء الاصطناعي ووكلاء مزيفين منسوبين إلى نماذج شائعة، ويواصل نشاط «Atlas» هذا المسار من خلال استغلاله ميزة مشاركة المحتوى المدمجة في منصة ذكاء اصطناعي شرعية.

وقال محلل البرمجيات الخبيثة لدى «كاسبرسكي» فلاديمير غورسكي: «لا تكمن فعالية هذه الحالة في استغلالٍ تقنيّ معقّد، بل في أسلوبٍ من الهندسة الاجتماعية يُقدَّم في سياق مألوف مرتبط بالذكاء الاصطناعي. فالرابط الإعلاني يقود المستخدمين إلى صفحة مصممةٍ باحتراف على نطاق موثوق، ليجدوا «دليل تثبيت» يقوم على أمرٍ برمجي واحد يُنفّذ في Terminal. ومزيجُ الثقة والبساطة هذا يدفع البعض إلى التخلّي عن الحذر المعتاد، ما يفضي إلى اختراقٍ كامل للنظام ومنح المهاجمين وصولاً طويل الأمد».

وأوصت «كاسبرسكي» المستخدمين باتباع الإجراءات الوقائية الآتية:

– التعاملُ بحذرٍ شديد مع أي «دليلٍ إرشادي» غير مرغوب فيه يطلب تشغيل أوامر Terminal أو PowerShell، ولا سيما إن كان يقتصر على نسخ ولصق سطرٍ برمجي واحد من موقع ويب أو مستند أو محادثة.

– إغلاق الصفحات أو حذف الرسائل التي تطالب بمثل هذه الإجراءات إذا كانت التعليمات غير واضحة، والاستعانة بشخصٍ خبيرٍ وموثوق قبل المتابعة.

– نسخ النص البرمجي المشكوك فيه إلى أداة ذكاء اصطناعي موثوقة أو أداة أمان لفهم وظيفته قبل تشغيله.

– الحرص على تثبيت برنامجٍ أمني موثوق على جميع الأجهزة المستخدمة، بما في ذلك الأجهزة العاملة بنظامي macOS ولينكس؛ ويمكن استخدام «Kaspersky Premium» القادر على اكتشاف برمجيات سرقة المعلومات والبرمجيات الخبيثة المرتبطة بها وحظرها.