هجوم ReCAPTCHA الزائف يقوم بتثبيت البرمجيات الخبيثة على MacOS في آلاف الأجهزة

تستهدف حملة برمجيات خبيثة جديدة مستخدمي نظام macOS من خلال نوافذ منبثقة مزيفة لـ reCAPTCHA، مخدعة إياهم لتثبيت برامج قوية لسرقة البيانات.

تستهدف عملية برامج الفدية الخبيثة الضخمة لنظام macOS الآلاف من المواقع الإلكترونية لنشر برامج ضارة خطيرة على مستخدمي Apple، كما وصفت في بحث من Bad Byte.

تتلاعب خدعة البرمجيات الضارة MacReaper بالمستخدمين من خلال تنبيهات الأمان الخادعة، وتستخدم وظائف البلوكتشين لسرقة كلمات المرور، بالإضافة إلى تفاصيل بطاقات الائتمان، ومحافظ العملات المشفرة.

عندما يزور مستخدم macOS أحد المواقع المصابة – مثل بوابة أخبار برازيلية – يتم عرض نافذة reCAPTCHA وهمية تطلب منهم النقر على “أنا لست روبوت”. بمجرد القيام بذلك، ينسخ سكريبت مخفي سراً أمراً ضاراً إلى الحافظة الخاصة بالمستخدم.

ثم يُوجِه الموقع المستخدم إلى لصق وتشغيل الأمر في تيرمينال (Terminal). يؤدي ذلك إلى تنزيل وتثبيت Atomic Stealer (AMOS)، وهو نوع من البرمجيات الخبيثة المصممة لاستخراج مجموعة واسعة من البيانات الشخصية.

يتيح AMOS للمهاجمين السيطرة على كلمات المرور المخزنة في مفاتيح نظام التشغيل macOS بالإضافة إلى بيانات المتصفح من كروم وفايرفوكس، بالإضافة إلى محافظ العملات المشفرة ومعلومات النظام والملفات الشخصية. يستخدم المهاجمون عقود Binance الذكية، كجزء من تكنولوجيا البلوكتشين، لإخفاء أوامرهم، مما يجعل أدوات الأمن غير فعالة في الكشف عن البرمجيات الخبيثة أو منعها.

مقياس الهجوم مقلق. وجدت Bad Byte أكثر من 2800 موقع ويب مخترق ينتمي إلى قطاعات مختلفة بما في ذلك المدونات، ومواقع الأعمال، ومنصات الأخبار. يقول الباحثون أن معظم أصحاب المواقع غير مدركين أن منصاتهم تعمل كقنوات لتوزيع البرمجيات الخبيثة.

لحماية نفسك، يقترح الباحثون تجنب تنفيذ أوامر الـ Terminal من مصادر غير موثوقة، خاصة إذا تم تحثهم على ذلك بواسطة CAPTCHA مشبوهة.

تسلط هذه الحملة الضوء على التطور المتزايد للالتهديدات الإلكترونية ضد مستخدمي macOS وتعمل كتذكير قاسي بأن نظام Apple ليس محصّنًا ضد الهجمات المستهدفة.