دردشات الذكاء الاصطناعي الخبيثة: الخط الأمامي الجديد في سرقة بيانات الاعتماد والعملات الرقمية على macOS

يستخدم مجرمو الإنترنت روابط دردشة الذكاء الاصطناعي المشتركة وإعلانات Google الممولة لإصابة مستخدمي Mac ببرمجيات خبيثة متقدمة تسرق كلمات المرور، ومحافظ العملات الرقمية، والمزيد.

تخيل هذا: أنت تبحث عن حل سريع لتفريغ مساحة التخزين على جهاز Mac الخاص بك. تنقر على نتيجة Google الأولى، وتصل إلى ما يبدو أنه دردشة ذكاء اصطناعي غير ضارة، وتتبع بعض التعليمات الودية. بعد دقائق، تمت سرقة كلمات المرور ومحافظ العملات الرقمية الخاصة بك - دون أن تشك في أي شيء.

حقائق سريعة

يستغل القراصنة إعلانات البحث الممولة على Google لاستدراج مستخدمي macOS إلى جلسات دردشة ذكاء اصطناعي مفخخة.
يتم خداع الضحايا لتشغيل أوامر طرفية مشفرة تقوم بتثبيت برمجية Shamus Stealer الخبيثة.
يستهدف Shamus بيانات المتصفح، ومحافظ العملات الرقمية، وجلسات Telegram، وملفات تعريف VPN، وحتى سلسلة مفاتيح macOS.
تستمر البرمجية الخبيثة بعد إعادة تشغيل النظام ويمكنها استبدال تطبيقات المحافظ الأصلية لاعتراض المعاملات.
يتم تهريب البيانات عبر طلبات HTTP POST إلى خوادم يتحكم بها المهاجمون باستخدام معرفات مخصصة.

كيف يحول مجرمو الإنترنت دردشات الذكاء الاصطناعي إلى أفخاخ برمجيات خبيثة على Mac

هذه ليست عملية تصيد احتيالي عادية. في تطور جديد للإعلانات الخبيثة، يشتري مجرمو الإنترنت نتائج Google الممولة لعمليات البحث الشائعة عن حلول لمشاكل Mac. بدلاً من الربط بتنزيلات مشبوهة، تعيد هذه الإعلانات توجيه المستخدمين إلى جلسات دردشة مشتركة على منصات مثل ChatGPT وDeepSeek. تبدو الدردشات شرعية - تقدم نصائح وأوامر صيانة للنظام - لكنها مليئة بأكواد خبيثة مخفية.

غالبًا ما تطلب التعليمات من المستخدمين نسخ ولصق أمر طرفية مشفر بطريقة Base64، بزعم أنه "لتحرير الذاكرة" أو "إصلاح خطأ في القرص". في الواقع، تنفذ هذه الأوامر سكريبتًا يحاكي نافذة طلب كلمة مرور macOS القياسية، ليجمع بيانات الاعتماد ويخزنها في ملف مخفي. ثم يقوم السكريبت بتنزيل حمولة ثانية: Shamus Stealer، وهي برمجية خبيثة متطورة مصممة للسرقة والتخفي.

داخل Shamus Stealer: أداة متعددة الاستخدامات للسرقة الرقمية

بمجرد التثبيت، يطلق Shamus هجومًا متعدد المراحل. يفك تشفير نفسه باستخدام خوارزميات مخصصة لتجنب الاكتشاف، ويتحقق من وجود آلات افتراضية أو بيئات أمان، ويخفي تطبيق الطرفية لإخفاء نشاطه. الحمولة الرئيسية - وهي AppleScript بطول 800 سطر - تبحث عن بيانات المتصفح، وبيانات تسجيل الدخول، وملفات تعريف الارتباط، وخاصة محافظ العملات الرقمية.

يستهدف أكثر من 200 إضافة متصفح للعملات الرقمية و15 تطبيق محفظة مكتبية، بما في ذلك MetaMask وExodus وLedger Live وTrezor Suite. حتى مستخدمي المحافظ المادية ليسوا في مأمن: يمكن لـ Shamus استبدال تطبيقات المحافظ الأصلية بنسخ مفخخة لاعتراض المعاملات في الوقت الفعلي. كما تسرق البرمجية سلسلة مفاتيح macOS بالكامل، وجلسات Telegram، وإعدادات OpenVPN، وملفات حساسة من المجلدات الشائعة.

لضمان البقاء بعد إعادة التشغيل، يثبت Shamus LaunchDaemon يعيد تشغيل البرمجية الخبيثة كل ثانية. يتم ضغط البيانات المسروقة وإرسالها إلى خادم بعيد عبر طلبات HTTP POST، مع معرفات مستخدم وبناء فريدة كبصمات رقمية.

احمِ نفسك: الوعي هو أفضل دفاع

مع تحول أدوات الذكاء الاصطناعي إلى جزء من حلول المشاكل اليومية، يستغل المهاجمون الثقة في هذه المنصات. يجب على المؤسسات والأفراد الحذر من نتائج البحث الممولة، وعدم تنفيذ أوامر الطرفية من الدردشات عبر الإنترنت بشكل أعمى، ومراقبة الملفات والعمليات الخلفية المشبوهة. الحماية الطرفية وتوعية المستخدمين أمران حاسمان في مشهد التهديدات المتطور هذا.