کمپین جدید Atomic macOS Stealer از ClickFix برای هدف قرار دادن کاربران اپل بهره برداری می کند

  • 14 Jun 2025
  • کد خبر: 3974874
  • 49

کمپین جدید Atomic macOS Stealer از ClickFix برای هدف قرار دادن کاربران اپل بهره برداری می کند

محققان امنیت سایبری در مورد یک کمپین بدافزار جدید که از تاکتیک مهندسی اجتماعی ClickFix  استفاده می کند هشدار می دهند. این کمپین، کاربران را فریب می دهد تا یک بدافزار سرقت اطلاعات، معروف به Atomic macOS Stealer (AMOS)   را در سیستم های MacOS اپل دانلود کنند.

به گفته  CloudSEK، مشخص شده است که این کمپین از دامنه‌های typosquat با تقلید از ارائه‌دهنده مخابراتی مستقر در ایالات متحده Spectrum استفاده می‌کند.

طبق گفته یک محقق امنیتی به نام  Koushik Pal، به کاربران macOS یک اسکریپت پوسته مخرب ارائه می شود که برای سرقت رمزهای عبور سیستم و دانلود یک نوع AMOS به منظور بهره برداری بیشتر طراحی شده است. این اسکریپت از دستورات بومی macOS برای جمع آوری اعتبار، دور زدن مکانیسم های امنیتی و اجرای باینری های مخرب استفاده می کند.

اعتقاد بر این است که این فعالیت به دلیل وجود نظرات زبان روسی در کد منبع بدافزار، کار مجرمان سایبری روسی زبان است.

نقطه شروع حمله، یک صفحه وب می باشد که طیف  ("panel-spectrum[.]net" یا "spectrum-ticket[.]net") را مورد حمله قرار می دهد. به بازدیدکنندگان سایت‌های مورد نظر پیامی فرستاده می‌شود که به آنها دستور می‌دهد تا قبل از ادامه فرآیند، یک بررسی تأیید hCaptcha  را تکمیل کنند تا «امنیت» اتصال خود را بررسی نمایند.

با این حال، هنگامی که کاربر برای ارزیابی روی گزینه «من انسان هستم» کلیک می‌کند، یک پیام خطایی نشان می‌دهد که «راستی‌آزمایی CAPTCHA ناموفق بود» و از او می‌خواهد روی دکمه‌ای کلیک کند تا «تأیید‌ جایگزین» را ادامه دهد.

انجام این کار باعث می شود یک فرمان در کلیپ بورد کاربران کپی شود و بسته به سیستم عامل قربانی مجموعه ای از دستورالعمل ها نشان داده شود و در حالی که برای اجرای یک فرمان PowerShell در ویندوز با باز کردن کادر گفتگوی Windows Run راهنمایی می‌شوند، یک اسکریپت پوسته جایگزین آن می گردد که با راه‌اندازی برنامه Terminal در macOS  اجرا می‌شود.

این شرکت امنیت سایبری گفت که چندین حمله ClickFix را در محیط‌های مشتریان در اروپا، خاورمیانه و آفریقا (EMEA) و در ایالات متحده شناسایی کرده است.  این کمپین‌ها در حال افزایش قدرت هستند، چندین تنوع را اتخاذ می‌کنند، اما با هدف نهایی یکسانی یعنی ارائه بارهای مخرب، از تروجان‌ها گرفته تا دزدها و باج‌افزارها، عمل می‌نمایند.

در یکی از رویدادهای آوریل 2025 که توسط Darktrace تجزیه و تحلیل شد، عوامل تهدید ناشناخته یافت شد که از ClickFix به عنوان یک بردار حمله برای انجام حرکت جانبی و ارسال اطلاعات مربوط به سیستم به یک سرور خارجی  و ... استفاده می کنند.

منبع:

https://thehackernews.com/2025/06/new-atomic-macos-stealer-campaign.html

اشتراک گذاری

خبرهای مرتبط

هیچ نتیجه‌ای یافت نشد.