حملة خبيثة تستغل ChatGPT وإعلانات جوجل لاختراق أجهزة ماك

اختراق أجهزة ماك

A . .A

اكتشف فريق أبحاث التهديدات لدى كاسبرسكي حملة برمجيات خبيثة جديدة تستهدف مستخدمي أجهزة "ماك"، وتستخدم إعلانات البحث المدفوعة في جوجل والمحادثات المشتركة في الموقع الرسمي لبرنامج ChatGPT، لخداع مستخدمي أجهزة ماك ودفعهم إلى تحميل برمجية “AMOS” لسرقة المعلومات، فضلاً عن تثبيت باب خلفي دائم في أجهزتهم.

إعلانات مدفوعة وصفحات مزيفة

يشتري المهاجمون في هذه الحملة إعلانات بحث ممولة لعبارات مثل “chatgpt atlas”، ثم يوجهون المستخدمين إلى صفحة تبدو وكأنها دليل إرشادي لتثبيت برنامج ChatGPT Atlas على أجهزة macOS، والمستضافة على الموقع الرسمي chatgpt.com.

وهذه الصفحة مجرد محادثة مشتركة عامة على روبوت المحادثة ChatGPT، وقد أنشئت عبر هندسة الأوامر، ثم نقحها المجرمون ولم يتركوا فيها إلا تعليمات “التثبيت” المذكورة خطوة بخطوة. ويحث الدليل الإرشادي المستخدمين على نسخ سطر واحد من الكود البرمجي، وفتح تطبيق Terminal في نظام macOS، ثم إدراج الكود ومنح الأذونات المطلوبة كافة.

كيفية الاستهداف

يوضح تحليل كاسبرسكي، أن الكود البرمجي يحمل ويشغل نصًا برمجيًا من النطاق الخارجي atlas-extension[.]com.، ويطالب هذا النص البرمجي المستخدم بإدخال كلمة المرور مرارًا وتكرارًا، ويحاول التحقق من صحتها بتشغيل أوامر النظام.

وحالما يدخل المستخدم الكلمة الصحيحة، يبدأ النص البرمجي تحميل برنامج AMOS لسرقة المعلومات، ويستخدم بيانات تسجيل الدخول المسروقة لتثبيت هذه البرمجية الخبيثة وتشغيلها. وتكون آلية الإصابة نسخة معدلة من تقنية “ClickFix”؛ إذ يُخدع المستخدمون لتنفيذ أوامر نصية (Shell) لاسترداد وتشغيل تعليمات برمجية من خوادم بعيدة.

سرقة بيانات واسعة

بعد تثبيت برنامج AMOS، فإنه يجمع بيانات مفيدة للمهاجمين لتحقيق مكاسب مالية منها أو لإعادة استخدامها في عمليات اختراق لاحقة. وتستهدف هذه البرمجية الخبيثة كلمات المرور وملفات تعريف الارتباط ومعلومات أخرى من المتصفحات، وبيانات محافظ العملات الرقمية، وبيانات بعض التطبيقات.

وتبحث البرمجية الخبيثة عن ملفات بامتدادات “TXT” و"PDF" و"DOCX" ضمن مجلدات سطح المكتب والمستندات والتحميلات، فضلاً عن الملفات المخزنة لتطبيق الملاحظات Notes، ثم تسرب هذه البيانات إلى بنية تحتية تتحكم بها جهة التهديد. وفي الوقت نفسه يثبت المهاجمون بابا خلفيًا معدًا للعمل تلقائيًا عند إعادة التشغيل، فيمنحهم وصولًا عن بعد إلى النظام المخترق، ويعيد تنفيذ كثير من عمليات جمع البيانات التي تقوم بها برمجية AMOS.

استخدام الذكاء الاصطناعي للهجمات السيبرانية

تشير هذه الحملة إلى اتجاه أوسع، فقد أصبحت برمجيات سرقة المعلومات من أسرع التهديدات السيبرانية نموًا خلال عام 2025؛ إذ يجري المهاجمون بتجارب مكثفة عن مواضيع متعلقة بالذكاء الاصطناعي، وأدوات الذكاء الاصطناعي المزيفة، والمحتوى المولد بالذكاء الاصطناعي، ويوظفون ذلك كله لجعل عمليات الخداع أكثر إقناعًا.

وشهدت موجات الهجمات الحديثة استخدام نوافذ جانبية مزيفة للمتصفحات تعمل بالذكاء الاصطناعي ووكلاء مزيفين مرتبطين بنماذج شائعة، ويواصل نشاط “Atlas” هذا الاتجاه باستغلاله ميزة مشاركة المحتوى المدمجة في منصة ذكاء اصطناعي شرعية.

كاسبرسكي: الهندسة الاجتماعية مفتاح الاختراق

قال المسألة فلاديمير جورسكي، محلل البرمجيات الخبيثة لدى كاسبرسكي، إن فعالية هذه الحالة لا تكمن في عملية الاستغلال المعقد، بل في أسلوب الهندسة الاجتماعي الذي يقدم في سياق مألوف خاص بالذكاء الاصطناعي.

وأضاف أن الرابط الإعلاني يقود المستخدمين إلى صفحة مصممة بشكل احترافي على نطاق موثوق، فيجدون “دليل تثبيت” أمر برمجي واحد ينفذ في “Terminal”، ومزيج الثقة والبساطة يدفع المستخدمين إلى التخلي عن حذرهم المعتاد، ما يؤدي إلى اختراق كامل للنظام ومنح المهاجمين وصولاً طويل الأمد.