Netcrook Logo
👤 LOGICFALCON
🗓️ 29 Jan 2026   🌍 North America

منتحلو صفة Apple: قراصنة يستولون على إعلانات Google للتسلل إلى أجهزة Mac

العنوان الفرعي: يستخدم المهاجمون حسابات مُعلنين مخترقة وصفحات Apple مزيفة لخداع مستخدمي Mac ودفعهم إلى تشغيل أوامر خطيرة في Terminal.

تبدأ القصة ببحث بسيط على Google: “mac cleaner”. أنت تريد ترتيب جهاز Mac والتخلص من الفوضى، لكن ما لا تعرفه هو أن النتيجة الأولى - إعلان ممول - قد تكون بوابة لتسليم جهازك لمجرمي الإنترنت. هذا هو الوجه الجديد للجريمة السيبرانية التي تستهدف Mac، حيث تُخفي إعلانات Google التي تبدو أصلية مخططًا متطورًا صُمم للسيطرة على جهازك، وسرقة أسرارك، وتركك دون أن تشعر بشيء.

تشريح إعلان خادع

في 26 يناير 2026، كشف باحثو الأمن السيبراني في MacKeeper موجة جديدة من إعلانات Google الخبيثة التي تستهدف مستخدمي Mac. هذه الإعلانات، التي تُقدّم نفسها كأدوات “mac cleaner” موثوقة، تستدرج المستخدمين الراغبين في تنظيف أجهزتهم. لكن بدلًا من تطبيق مفيد، تعيد الإعلانات توجيه المستخدمين إلى صفحات مُتقنة الصنع تشبه Apple - وأحيانًا تكون مستضافة حتى على نطاقات Google الرسمية مثل docs.google.com أو business.google.com لخفض مستوى الشك أكثر.

الخداع فعّال على نحو مخيف. صفحات الدعم المزيفة تحاكي وثائق Apple بشكل شبه مثالي، باستثناء روابط تنقّل لا تعمل. أما الفخ الحقيقي فيكمن في “نصيحتهم”: يُحث المستخدمون على نسخ سلسلة غامضة مُشفّرة بـBase64 ولصقها في Terminal على جهاز Mac. للعين غير المدرّبة تبدو تقنية لكنها غير مؤذية. في الواقع، إنها حصان طروادة رقمي.

ما الذي يحدث فعليًا خلف الكواليس

بمجرد لصقه وتشغيله، يفك الأمر ترميزه بهدوء ويجلب سكربتًا من خادم بعيد. هذا السكربت، الذي يُنفَّذ بصلاحيات المستخدم الكاملة، يمكنه السيطرة على النظام. تُعرض رسائل تقدم مزيفة مثل “تنظيف مساحة تخزين macOS” لإبقاء الضحايا بعيدين عن الشك. وفي الوقت نفسه، يحصل المهاجمون على وصول عن بُعد، قادرين على سرقة الملفات، واستخراج مفاتيح SSH، وزرع مزيد من البرمجيات الخبيثة، أو حتى استخدام جهاز Mac للتعدين المشفّر.

وعند تتبّع المصدر، وجد MacKeeper أن الإعلانات دُفعت عبر حسابات مُعلنين في Google تم الاستيلاء عليها، بما في ذلك حساب يعود إلى “Nathaniel Josue Rodriguez” وآخر مرتبط بـAloha Shirt Shop. كان كلا الحسابين قد شغّلا سابقًا إعلانات شرعية، ما يشير إلى أنهما تعرضا للاختراق بدلًا من إنشائهما لأغراض الاحتيال. ومن خلال الاستفادة من حسابات حقيقية، يتجاوز المهاجمون فحوصات أمان Google ويستغلون ثقة المستخدمين غير المنتبهين.

البقاء متيقظًا

هذه الحملة تذكير صارخ: ليست كل نتيجة بحث في الأعلى جديرة بالثقة، حتى لو بدت رسمية. إذا طلب منك موقع ما تشغيل أوامر غامضة في Terminal، خصوصًا تلك التي لا تفهمها، فتوقف واطلب نصيحة خبير. لقد أبلغت MacKeeper عن الإعلانات الخبيثة إلى Google، لكن مع ازدياد ابتكار المهاجمين، تبقى توعية المستخدمين أفضل خط دفاع.

WIKICROOK

  • ترميز Base64: يحوّل ترميز Base64 البيانات إلى سلسلة نصية قابلة للقراءة، ما يجعل تضمين الملفات والشفرة أو نقلها داخل الأنظمة المعتمدة على النص أسهل.
  • macOS Terminal: macOS Terminal أداة سطر أوامر على أجهزة Apple تُستخدم لتنفيذ أوامر النظام وإدارة الملفات والوصول إلى وظائف نظام متقدمة.
  • سكربت عن بُعد: السكربت عن بُعد هو شفرة تُنفَّذ على جهازك لكنها تُنزَّل من خادم خارجي أو تُدار منه، وغالبًا ما تُستخدم لإضافة ميزات أو تتبع النشاط.
  • التعدين المشفّر: يستخدم التعدين المشفّر قدرة الحاسوب لحل ألغاز وكسب عملات رقمية، وأحيانًا يستغل الأجهزة دون علم المالك أو موافقته.
  • الاستيلاء على حسابات المُعلنين: الاستيلاء على حسابات المُعلنين يحدث عندما يسيطر المهاجمون على حسابات إعلانية شرعية لنشر برمجيات خبيثة أو تصيّد أو إعلانات احتيالية، ما يضر المستخدمين والشركات.
Mac cybercrime Google Ads Terminal commands
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news