مخترقون يستغلون إعلانات غوغل ومحادثات الذكاء الاصطناعي لنشر برامج خبيثة على أجهزة ماك

قد تبدو نتائج البحث في جوجل مساحة آمنة؛ أسماء مألوفة وروابط رسمية وشعار شركة نعرفه جيداً. لكن أحياناً، يكفي أن تضغط على نتيجة “مدفوعة” واحدة لتنتقل من فضول تقني بسيط إلى سيناريو اختراق صامت يعمل في الخلفية.

هذا ما كشفه تقرير حديث لموقع BleepingComputer، إذ يستغل مهاجمون إعلانات Google وروابط محادثات مشتركة على منصة Claude.ai لنشر برمجيات خبيثة تستهدف مستخدمي macOS، مستفيدين من الثقة في النطاق الرسمي بدل الاعتماد على مواقع مزيفة كما جرت العادة.

في الحملة الأخيرة، كان المستخدم الذي يبحث عن “Claude mac download” يرى إعلاناً يبدو طبيعياً ويشير إلى claude.ai، أي النطاق الرسمي التابع لشركة Anthropic. المشكلة لم تكن في الرابط، بل في المحتوى داخله. إذ استخدم المهاجمون ميزة “المحادثات المشتركة” في Claude لنشر إرشادات مزيفة بعنوان يوحي بأنها صادرة عن دعم آبل، تطلب من المستخدم تنفيذ أوامر داخل الطرفية.

بهذا الأسلوب، لم يعد هناك موقع تصيّد واضح يمكن اكتشافه من خلال شكل العنوان أو أخطاء اللغة. الوجهة أصلية، لكن المحتوى نفسه أصبح أداة هجومية، ما يعقّد مهمة المستخدم ويضع عبئاً أكبر على وعيه التقني.

السيناريو بسيط ومقنع: انسخ هذا الأمر إلى Terminal لتثبيت النسخة الصحيحة. لكن الأمر المشفّر يقوم فعلياً بتحميل سكربت خفي وتنفيذه مباشرة في الذاكرة، دون ترك ملفات تقليدية يمكن رصدها بسهولة. إحدى النسخ التي حللها التقرير اعتمدت أسلوب “التسليم متعدد الأشكال”، حيث يُعاد توليد الحمولة البرمجية بصيغة مختلفة في كل مرة لتفادي أنظمة كشف التوقيع.

بعض الإصدارات كانت أكثر دهاءً؛ إذ تتحقق أولاً من إعدادات لوحة المفاتيح، وتتوقف إذا اكتشفت لغة من دول رابطة الدول المستقلة، ثم تجمع معلومات عن عنوان IP ونظام التشغيل قبل تنزيل المرحلة الثانية عبر osascript، مستفيدة من أدوات macOS المدمجة للحصول على تنفيذ عن بُعد دون تثبيت تطبيق ظاهر.

الهجمات عبر الإعلانات الخبيثة أو malvertising ليست جديدة. سبق أن استهدفت حملات مشابهة مستخدمي برامج مثل GIMP أو أدوات تطوير كـ Homebrew، عبر مواقع شبيهة بالأصل. الجديد هنا أن الحملة تتخلى عن الموقع الوهمي بالكامل، وتعتمد على منصة ذكاء اصطناعي موثوقة كحامل للمحتوى الضار.

هذا التحول يعكس فهماً دقيقاً لكيفية تغيّر سلوك المستخدم. اليوم، كثيرون يتوقعون العثور على الإرشادات التقنية داخل دردشة ذكاء اصطناعي أكثر مما يتوقعونها في منتدى تقليدي. الثقة لم تعد مرتبطة بشكل الموقع فقط، بل أيضاً بالمنصة وسمعتها.

ليست هذه المرة الأولى التي تُستغل فيها المحادثات المشتركة على منصات ذكاء اصطناعي لنشر تعليمات ضارة. الفكرة مغرية للمهاجمين: محتوى ديناميكي، نطاق رسمي، وقابلية مشاركة واسعة. ومع ازدياد الاعتماد على أدوات مثل ChatGPT وClaude وGemini، تصبح هذه البيئات نقاط تماس مباشرة مع المستخدم النهائي.

المشهد هنا يكشف مفارقة هادئة: أدوات صُممت لتسهيل الوصول إلى المعرفة، تتحول إلى قنوات توزيع لأوامر برمجية قد لا يفهمها المستخدم الذي ينفذها. سطر واحد في الطرفية قد يفتح باباً كاملاً للوصول غير المصرّح به.

لطالما تمتع macOS بسمعة أنه أقل عرضة للبرمجيات الخبيثة، لكن حملات infostealer الأخيرة، بما فيها متغيرات MacSync، تُظهر أن النظام أصبح هدفاً صريحاً مع اتساع قاعدة مستخدميه. استهداف غير التقنيين الباحثين عن تجربة ذكاء اصطناعي جديدة يوسع دائرة الضحايا المحتملين.

القاعدة البسيطة التي يكررها الخبراء تظل صالحة: أي طلب لنسخ أوامر إلى الطرفية يجب أن يُقابل بتشكك صحي، حتى لو جاء من داخل منصة معروفة. في زمن تختلط فيه الإعلانات، وخوارزميات البحث، ومخرجات الذكاء الاصطناعي، لم يعد مصدر الرابط وحده كافياً للحكم على أمانه.

في النهاية، تكشف هذه الحملة أن ساحة المعركة لم تعد تقتصر على الثغرات التقنية، بل تمتد إلى طبقات الثقة الرقمية نفسها. والسؤال الذي يتردد بهدوء: عندما تصبح المنصات الذكية واجهة الإنترنت الرئيسية، كيف سنعيد تعريف مفهوم “المصدر الموثوق”؟