في تطور جديد مثير للاهتمام، يتم الآن تسليم أتوميك ستيلر Atomic Stealer لمستخدمي ماك Mac عبر سلسلة تحديث متصفح زائفة يتم تتبعها باسم "ClearFake". قد تكون هذه هي المرة الأولى التي نرى فيها إحدى حملات الهندسة الاجتماعية الرئيسية، والتي كانت مخصصة سابقًا لنظام التشغيل ويندوز، لا تتفرع فقط من حيث تحديد الموقع الجغرافي ولكن أيضًا من حيث نظام التشغيل.

أتوميك ستيلر Atomic Stealer، المعروف أيضًا باسم AMOS، هو برنامج سرقة شائع لنظام التشغيل Mac OS. 

ومع وجود قائمة متزايدة من المواقع المخترقة الموجودة تحت تصرفهم، أصبح بإمكان الجهات الفاعلة في مجال التهديد الوصول إلى جمهور أوسع، وسرقة بيانات الاعتماد والملفات ذات الأهمية التي يمكن تحقيق الدخل منها على الفور أو إعادة توظيفها لشن هجمات إضافية.

اكتشاف كلير فيك ClearFake
 هي حملة جديدة للبرامج الضارة تعمل على الاستفادة من مواقع الويب المخترقة لتوزيع تحديثات المتصفح الزائفة. تم اكتشافه في الأصل من قبل Randy McEoin في أغسطس وخضع منذ ذلك الحين لعدد من الترقيات، بما في ذلك استخدام العقود الذكية لبناء آلية إعادة التوجيه الخاصة به، مما يجعله واحدًا من أكثر مخططات الهندسة الاجتماعية انتشارًا وخطورة.

في 17 نوفمبر، لاحظ الباحث الأمني ​​أنكيت أنوبهاف أنه تم توزيع ClearFake على مستخدمي Mac بالإضافة إلى الحمولة المقابلة:

يحاكي قالب Safari موقع أبل الرسمي وهو متوفر بلغات مختلفة:

نظرًا لأن جوجل كروم شائع أيضًا على أجهزة ماك Mac، فهناك قالب له يشبه إلى حد كبير النموذج المستخدم لمستخدمي ويندوز:

سارق أتوميك
تم إنشاء الحمولة لمستخدمي Mac، وهي عبارة عن ملف DMG يُزعم أنه تحديث Safari أو Chrome. يتم إرشاد الضحايا حول كيفية فتح الملف الذي يقوم بتشغيل الأوامر على الفور بعد المطالبة بكلمة المرور الإدارية.

بالنظر إلى سلاسل التطبيق الضار، يمكننا رؤية تلك الأوامر التي تتضمن إمكانات التقاط كلمة المرور والملفات:

البحث عن كلمة المرور العامة -ga 'Chrome' | awk '{print $2}' SecKeychainSearchCopyNext:
/Chromium/Chrome /Chromium/Chrome/Local State FileGrabber أخبر تطبيق "Finder"
اضبط DesktopFolder على المسار إلى مجلد سطح المكتب
اضبط DocumentFolder على المسار إلى مجلد المستندات
قم بتعيين srcFiles على كل ملف من ملفات DesktopFolder الذي يوجد ملحق اسمه في {"txt"، "rtf"، "doc"، "docx"، "xls"، "key"، "wallet"، "jpg"، "png"، " web3", "دات"}
قم بتعيين ملفات docsFiles على كل ملف من مجلد المستندات الذي يوجد ملحق اسمه في {"txt"، "rtf"، "doc"، "docx"، "xls"، "key"، "wallet"، "jpg"، "png"، " web3", "دات"}
في نفس الملف، يمكننا العثور على خادم الأوامر والتحكم الخاص بالبرامج الضارة حيث يتم إرسال البيانات المسروقة إلى:

تحتاج أجهزة Mac إلى الحماية أيضًا
لقد كانت تحديثات المتصفح المزيفة موضوعًا شائعًا لمستخدمي Windows لسنوات، ومع ذلك، حتى الآن لم تتوسع الجهات الفاعلة في التهديد إلى MacOS بطريقة متسقة. إن شعبية برامج السرقة مثل AMOS تجعل من السهل جدًا تكييف الحمولة لتناسب الضحايا المختلفين، مع تعديلات طفيفة.

نظرًا لأن ClearFake أصبحت إحدى حملات الهندسة الاجتماعية الرئيسية مؤخرًا، فيجب على مستخدمي Mac إيلاء اهتمام خاص لها. نوصي بالاستفادة من أدوات حماية الويب لحظر البنية التحتية الضارة المرتبطة بهذا التهديد.
يتمتع مستخدمو Malwarebytes بالحماية ضد Atomic Stealer:

المصدر: Malwarebytes