کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی کارزارهای ClickFix خبر دادهاند که با سوءاستفاده از آرتیفکتهای عمومی Claude و تبلیغات گوگل، بدافزار سرقت اطلاعات را به کاربران macOS منتقل میکنند.
به گزارش کمیته رکن چهارم، در این حملات که دستکم در دو گونه متفاوت مشاهده شدهاند، کاربران هنگام جستجوی عباراتی مانند «online DNS resolver»، «macOS CLI disk space analyzer» و «HomeBrew» با نتایج تبلیغاتی مخرب روبهرو میشوند. این نتایج آنها را به صفحات عمومی Claude یا مقالاتی هدایت میکند که خود را بهجای منابع معتبر پشتیبانی معرفی کرده و از کاربر میخواهند یک فرمان شِل را در برنامه Terminal اجرا کند.
در یکی از سناریوها، فرمانی مبتنی بر Base64 برای اجرا ارائه میشود و در سناریوی دیگر، کاربر به اجرای دستور curl برای دریافت اسکریپت از یک دامنه خارجی ترغیب میشود. اجرای این دستورات، بارگذار بدافزار سرقت اطلاعات موسوم به MacSync را روی سیستم قربانی دانلود و اجرا میکند.
بررسیهای فنی نشان میدهد بدافزار پس از اجرا، با استفاده از کلید API و توکن از پیش تعبیهشده با سرور فرمان و کنترل ارتباط برقرار کرده و از طریق AppleScript دادههای حساس شامل اطلاعات keychain، دادههای مرورگر و کیفپولهای رمزارزی را استخراج میکند. دادههای جمعآوریشده در یک آرشیو فشرده ذخیره و سپس از طریق درخواست HTTP POST به زیرساخت مهاجم ارسال میشود. در صورت بروز خطا، فرآیند انتقال چندین بار تکرار شده و پس از موفقیت، ردپاهای محلی حذف میشوند.
پژوهشگران اعلام کردهاند که بیش از ۱۰ هزار کاربر به این محتوای مخرب دسترسی یافتهاند و یکی از صفحات آلوده بیش از ۱۵ هزار بازدید ثبت کرده است. تحلیل زیرساخت نشان میدهد هر دو گونه حمله از یک سرور فرمان مشترک استفاده میکنند که احتمال وجود یک عامل تهدید واحد را تقویت میکند.
این رخداد در ادامه سوءاستفادههای مشابه از قابلیتهای اشتراکگذاری گفتوگو در ChatGPT و Grok برای توزیع بدافزار سرقت اطلاعات رخ داده و نشان میدهد مهاجمان اکنون دامنه فعالیت خود را به سایر مدلهای زبانی بزرگ گسترش دادهاند.
کارشناسان امنیتی تأکید کردهاند کاربران macOS باید از اجرای فرمانهایی در Terminal که بهطور کامل از عملکرد آنها آگاه نیستند خودداری کنند و نسبت به نتایج تبلیغاتی در موتورهای جستجو با احتیاط بیشتری برخورد کنند.
