احذر هجمات جديدة تستهدف مستخدمي أجهزة آبل ببرمجيات مزيفة تسرق العملات الرقمية

قد يبدو تثبيت أداة لتنظيف جهاز ماك خطوة روتينية يقوم بها المستخدم بحثاً عن أداء أفضل أو مساحة تخزين إضافية. نقرة تحميل، ثم تثبيت سريع، وينتهي الأمر. لكن في إحدى الحملات الأخيرة، تحوّلت هذه الخطوة البسيطة إلى باب خلفي واسع يبتلع كلمات المرور ومحافظ العملات الرقمية في صمت.

بحسب تقرير حديث من شركة Malwarebytes، تنتشر حالياً نسخة مزيفة من برنامج CleanMyMac عبر موقع مصمم بعناية ليحاكي الموقع الأصلي، مستهدفة مستخدمي macOS بأسلوب هندسة اجتماعية متقن. الهدف لم يكن مجرد إصابة عابرة، بل بناء سلسلة هجوم تبدأ بخدعة بسيطة وتنتهي بسرقة بيانات حساسة وأصول رقمية.

الهجوم اعتمد على انتحال علامة تجارية موثوقة في بيئة ماك، وهو تكتيك يزداد شيوعاً مع تحوّل macOS إلى هدف أكثر جذباً للمهاجمين. الموقع المزيف جاء بنطاق قريب من الاسم الأصلي، وتصميم يكاد يطابق النسخة الرسمية، ما يخفض مستوى الشك لدى المستخدم العادي.

هذه ليست محاولة تصيّد تقليدية برسالة بريد عشوائي، بل تجربة متكاملة تحاكي رحلة تحميل حقيقية، مستفيدة من الثقة المتراكمة في اسم معروف داخل النظام البيئي لأبل.

بدلاً من استغلال ثغرة أمنية في النظام، اعتمد المهاجمون على ما يُعرف بأسلوب ClickFix. يُطلب من الضحية فتح تطبيق Terminal ولصق أمر برمجي لجلب ملف التثبيت من خادم خارجي. ظاهرياً، يبدو المشهد وكأنه إجراء تقني معتاد قد يقوم به مستخدم متقدم.

بهذا الأسلوب، يتحايل المهاجمون على فلسفة الأمان القائمة على منع البرمجيات غير الموثقة، ويحوّلون المستخدم نفسه إلى حلقة تنفيذ داخل سلسلة الاختراق.

البرمجية الخبيثة، المعروفة باسم SHub، تطلب كلمة مرور macOS أثناء التثبيت. هنا تكمن نقطة التحول. كلمة المرور تمنحها وصولاً إلى Keychain، بيانات Wi‑Fi، رموز التطبيقات، ومفاتيح خاصة مخزنة محلياً. ما يبدو خطوة إدارية عابرة يتحول إلى تصريح شامل للوصول.

لا يتوقف الأمر عند جمع المعلومات، بل يمتد إلى تثبيت باب خلفي بمرحلة ثانية يستبدل بعض تطبيقات محافظ العملات بنسخ معدلة خبيثة لضمان استمرارية السيطرة.

لضمان البقاء داخل النظام، يقوم الهجوم بإنشاء LaunchAgent متنكراً كخدمة تحديث تابعة لجوجل. بهذه الطريقة، يحصل المهاجمون على آلية تشغيل تلقائي تتيح تنفيذ أوامر عن بُعد في أي وقت.

هذه المرحلة تكشف عن احترافية متزايدة في بيئة التهديدات الخاصة بماك: لم يعد الأمر مقتصراً على برمجيات إعلانية مزعجة، بل عمليات تسلل متعددة المراحل تستهدف الأصول الرقمية تحديداً، خصوصاً محافظ الكريبتو التي تمثل قيمة مباشرة وسريعة التحويل.

لفترة طويلة، ارتبطت أجهزة ماك بصورة النظام الأكثر أماناً، وهو تصور استند جزئياً إلى قلة انتشار البرمجيات الخبيثة مقارنة بويندوز. لكن مع توسع قاعدة المستخدمين وارتفاع قيمة البيانات المخزنة، أصبح macOS بيئة مربحة بما يكفي لجذب أدوات أكثر تقدماً ومهاجمين أكثر تنظيماً.

التطور اللافت هنا ليس في تعقيد الشيفرة فقط، بل في الاحترافية التسويقية للهجوم: موقع مقنع، اسم موثوق، وسيناريو تثبيت يراهن على ثقة المستخدم وخبرته الشكلية.

القصة في جوهرها ليست عن برنامج تنظيف مزيف، بل عن تحوّل ميزان الأمان من الاعتماد الكامل على النظام إلى وعي المستخدم. وبين راحة الاستخدام وثقة العلامات التجارية، تظل المسافة صغيرة بما يكفي كي يعبر منها سطر أوامر واحد.