حملة خبيثة تستهدف أجهزة ماك عبر مشاركة محادثات ChatGPT.. ما القصة؟

أصل الحكاية

الخميس 18/ديسمبر/2025 - 11:30 م

حملة خبيثة تستهدف أجهزة ماك عبر مشاركة محادثات ChatGPT.. ما القصة؟

محادثات ChatGPT .. اكتشف فريق أبحاث التهديدات لدى كاسبرسكي حملة برمجيات خبيثة جديدة تستهدف مستخدمي أجهزة “ماك”، وتستخدم هذه الحملة إعلانات البحث المدفوعة في جوجل والمحادثات المشتركة في الموقع الرسمي لبرنامج المحادثة الآلي ChatGPT، وتستغل ذلك لخداع مستخدمي أجهزة ماك ودفعهم إلى تحميل برمجية AMOS (Atomic macOS Stealer) لسرقة المعلومات، فضلا عن تثبيت باب خلفي دائم في أجهزتهم.ويشتري المهاجمون في هذه الحملة إعلانات بحث ممولة لعبارات مثل “chatgpt atlas”، ثم يقومون بتوجيه المستخدمين إلى صفحة تبدو وكأنها دليل إرشادي لتثبيت برنامج ChatGPT Atlas على أجهزة macOS، والمستضافة على الموقع الرسمي chatgpt.com، غير أنّ هذه الصفحة مجرد محادثة مشتركة عامة على روبوت المحادثة ChatGPT، وقد أنشئت عبر هندسة الأوامر، ثم نقحها المجرمون ولم يتركوا فيها إلا تعليمات «التثبيت” المذكورة خطوة بخطوة. ويحثّ الدليل الإرشادي المستخدمين على نسخ سطر واحد من الكود البرمجي، وفتح تطبيق Terminal في نظام macOS، ثم إدراج الكود ومنح الأذونات المطلوبة جميعًا.واقرأ أيضًا:ويوضح تحليل كاسبرسكي أنّ الكود البرمجي يحمّل ويُشغل نصا برمجيا من النطاق الخارجي atlas-extension[.]com. ويطالب هذا النص البرمجي المستخدم بإدخال كلمة المرور مرارا وتكرارا، ويحاول التحقق من صحتها بتشغيل أوامر النظام.سرقة المعلوماتوحالما يدخل المستخدم الكلمة الصحيحة، يبدأ النص البرمجي تحميل برنامج AMOS لسرقة المعلومات، ويستخدم بيانات تسجيل الدخول المسروقة لتثبيت هذه البرمجية الخبيثة وتشغيلها. وتكون آلية الإصابة نسخة معدلة من تقنية ClickFix؛ إذ يُخدع المستخدمون لتنفيذ أوامر نصية (Shell) لاسترداد وتشغيل تعليمات برمجية من خوادم بعيدة.وبعدما ينتهي تثبيت برنامج AMOS، فإنّه يباشر جمع بيانات مفيدة للمهاجمين لتحقيق مكاسب مالية منها أو لإعادة استخدامها في عمليات اختراق لاحقة. وتستهدف هذه البرمجية الخبيثة كلمات المرور وملفات تعريف الارتباط ومعلومات أخرى من المتصفحات، وبيانات محافظ العملات الرقمية مثل Electrum وCoinomi وExodus، وبيانات بعض التطبيقات مثل Telegram Desktop وOpenVPN Connect، بحسب دي بي إيه.وتبحث البرمجية الخبيثة عن ملفات بامتدادات TXT وPDF وDOCX ضمن مجلدات سطح المكتب والمستندات والتحميلات، فضلا عن الملفات المخزنة لتطبيق الملاحظات Notes، ثم تسرب هذه البيانات إلى بنية تحتية تتحكم بها جهة التهديد. وفي الوقت نفسه يثبت المهاجمون بابا خلفيا مُعدا للعمل تلقائيا عند إعادة التشغيل، فيمنحهم وصولا عن بعد إلى النظام المخترق، ويُعيد تنفيذ كثير من عمليات جمع البيانات، التي تقوم بها برمجية AMOS.وتشير هذه الحملة إلى اتجاه أوسع، فقد أصبحت برمجيات سرقة المعلومات من أسرع التهديدات السيبرانية نموا خلال عام 2025؛ إذ يقوم المهاجمون بتجارب مكثفة عن مواضيع متعلقة بالذكاء الاصطناعي، وأدوات الذكاء الاصطناعي المزيفة، والمحتوى المولد بالذكاء الاصطناعي، ويوظفون ذلك كله لجعل عمليات الخداع أكثر إقناعا.وشهدت موجات الهجمات الحديثة استخدام نوافذ جانبية مزيفة للمتصفحات تعمل بالذكاء الاصطناعي ووكلاء مزيفين مرتبطين بنماذج شائعة، ويواصل نشاط “Atlas” هذا الاتجاه باستغلاله ميزة مشاركة المحتوى المدمجة في منصة ذكاء اصطناعي شرعية.تدابير للحمايةوتوصي كاسبرسكي المستخدمين باتباع تدابير الحماية الآتية: • تعامل بحذر شديد مع أي «دليل إرشادي توجيهي” غير مرغوب فيه يطالبك بتشغيل أوامر Terminal أو PowerShell، لا سيما إذا طلب منك نسخ ولصق سطر برمجي واحد من موقع ويب أو مستند أو محادثة.• أغلق الصفحات أو احذف الرسائل، التي تطالب بإجراءات كهذه إذا كانت التعليمات غير واضحة، واستعن بشخص خبير وموثوق قبل المتابعة.• احرص على نسخ النص البرمجي المشبوه في أداة ذكاء اصطناعي أو أداة أمان لفهم وظيفة النص قبل تشغيله.• احرص على تثبيت برنامج أمني موثوق على جميع الأجهزة التي تستخدمها، مثل الأجهزة العاملة بنظامي macOS ولينكس. يمكنك استخدام برنامج Kaspersky Premium، الذي يكتشف ويحظر برمجيات سرقة المعلومات والبرمجيات الخبيثة المرتبطة بها.