Netcrook Logo
👤 LOGICFALCON
🗓️ 03 Mar 2026  

ماك تحت الحصار: هجوم إعلانات خبيثة متطور يسلّم سارِق «malext» إلى مستخدمين غير مدركين

العنوان الفرعي: حملة إعلانات مزيفة واسعة تستغل بحث Google لإصابة مستخدمي macOS بسارق معلومات قوي ينهب المتصفحات والمحافظ وغيرها.

بدأ الأمر كأي بحث يائس على الإنترنت: مستخدم macOS، قليل المساحة وقليل الصبر، ينقر على نتيجة متقدمة في Google تعد بحل سهل. لكن بدلًا من الارتياح، كاد أن يطلق عملية سطو رقمية. خلف دليل استكشاف الأعطال البريء المظهر كان يتربص «malext»، وهو متغير جديد ماكر من سارِق المعلومات AMOS، أطلقته واحدة من أكثر حملات الإعلانات الخبيثة عدوانية التي استهدفت مستخدمي Apple حتى اليوم.

حقائق سريعة

  • أكثر من 34 إعلانًا خبيثًا على Google مرتبطًا بمنشورات Medium.com مزيفة توزّع برمجيات خبيثة على مستخدمي macOS.
  • استبدل المهاجمون بسرعة حسابات الإعلانات المحظورة، مع تحديد ما لا يقل عن 53 حسابًا مخترقًا.
  • يستهدف سارِق المعلومات «malext» المتصفحات ومحافظ العملات المشفرة وApple Notes وغيرها - ويهرّب ما يصل إلى 30MB من الملفات الحساسة لكل ضحية.
  • تُخفى الحمولات الخبيثة على هيئة أوامر استكشاف أعطال macOS وتتفادى الكشف عبر الإخفاء (Obfuscation) وفحوصات مضادة للآلات الافتراضية.
  • تتحقق الاستمرارية عبر LaunchDaemons وتطبيقات مُحصَّنة بطروادة، ما يتيح وصولًا عن بُعد مستمرًا للمهاجمين.

الإعلانات الخبيثة: خط المواجهة الجديد لتهديدات macOS

لسنوات، تحمل مستخدمو Windows العبء الأكبر من هجمات الإعلانات الخبيثة، لكن هذه الحملة تشير إلى تحول في كتيّب الجريمة السيبرانية. كشف الباحثان @itspappy وGi7w0rm العملية بعد أن نجا مستخدم بصعوبة من الإصابة. وأظهر تحقيقهما شبكة مترامية من الإعلانات المزيفة - أكثر من 34 ضمن مكتبة Google Ads - تتنكر كمقالات مفيدة على منصات موثوقة مثل Medium وEvernote وkimi.com. الطُعم: أدلة مقنعة تعد بحلول لمشكلات macOS الشائعة، لكنها تُخفي أوامر shell خبيثة داخل النص.

تبدأ هذه الأوامر، المموهة بكثافة عبر Base64 وgzip، سلسلة تنزيل تجرّد دفاعات Gatekeeper وتستجلب ثنائيات Mach-O مصممة لكل من أجهزة Intel وApple Silicon. بل إن البرمجية الخبيثة تتحقق أيضًا من وجود آلات افتراضية أو بيئات تحليل (sandboxes) باستخدام حيل AppleScript خفية، ما يجعل اكتشافها من قبل الباحثين أكثر صعوبة.

كيف يسرق «malext» كل شيء

بمجرد دخوله، لا يضيّع malext وقتًا. يجمع بيانات اعتماد المتصفح وملفات تعريف الارتباط والسجل من أكثر من 12 متصفحًا قائمًا على Chromium وFirefox، ويستخرج بيانات Apple Notes وTelegram وحتى ملفات تعريف OpenVPN. ويفتش مجلدي سطح المكتب والمستندات بحثًا عن الملفات - خصوصًا محافظ العملات المشفرة والوثائق الحساسة - ويضغط ما يصل إلى 30MB لتهريبها. أما من يستخدمون مديري كلمات المرور أو إضافات العملات المشفرة فالمخاطر أكبر: إذ يستهدف malext عدد 266 إضافة متصفح وأكثر من 16 محفظة رئيسية، بما في ذلك Ledger وExodus.

تتحقق الاستمرارية عبر تثبيت LaunchDaemons وتحويل تطبيقات المحافظ الشرعية إلى تطبيقات مُحصَّنة بطروادة بصمت، بما يضمن بقاء موطئ قدم المهاجم بعد إعادة التشغيل. وتُرسل البيانات المسروقة إلى مجموعة متغيرة من خوادم القيادة والتحكم، مع عناوين IP احتياطية جاهزة إذا تم حظر النطاقات.

لماذا يهم هذا

ما يميز هذه الحملة هو حجمها وخفتها. يستبدل المهاجمون بسرعة حسابات الإعلانات المحظورة، ما يجعل جهود الإزالة لعبة «اضرب الخلد». طعومهم مخصصة وآنية ومقنعة على نحو مقلق - تستغل ثقة المستخدمين بنتائج البحث واستعجالهم لإصلاح مشكلات النظام. ويشير مدى الحملة وتعقيدها التقني إلى عملية منسقة، وربما تُدار من قبل جهة اتجار/توزيع (trafficker-run) بدلًا من مخترق منفرد.

الخلاصة: حتى على macOS، اليقظة ضرورية. لا تنسخ أو تلصق أوامر Terminal من مصادر غير موثوقة، ودقق دائمًا في نتائج البحث الممولة. ولمن وقعوا ضحية، فإن تدوير بيانات الاعتماد فورًا وإجراء فحص شامل للبرمجيات الخبيثة أمران أساسيان.

الخاتمة

مع صقل مجرمي الإنترنت لتكتيكاتهم، لا منصة محصنة. حملة «malext» تذكير صارخ: قد لا يأتي التهديد الكبير التالي على Mac من تنزيل مشبوه، بل من أعلى نتائج بحثك في Google. كن متيقظًا، وشكّك في كل شيء - وتذكر أن الراحة قد تكون مكلفة في عالم الجريمة السيبرانية.

WIKICROOK

  • الإعلانات الخبيثة (Malvertising): الإعلانات الخبيثة هي استخدام الإعلانات عبر الإنترنت لنشر البرمجيات الخبيثة، غالبًا عبر خداع المستخدمين للنقر على روابط ضارة - حتى على مواقع موثوقة.
  • سارِق المعلومات (Infostealer): سارِق المعلومات هو برمجية خبيثة مصممة لسرقة بيانات حساسة - مثل كلمات المرور أو بطاقات الائتمان أو المستندات - من أجهزة الكمبيوتر المصابة دون علم المستخدم.
  • Mach: ثنائي Mach-O هو صيغة ملف تنفيذي في macOS، تُستخدم غالبًا من قبل التطبيقات الشرعية وأحيانًا من قبل البرمجيات الخبيثة على أجهزة Apple.
  • LaunchDaemon: LaunchDaemon هي عملية خلفية في macOS تعمل عند بدء التشغيل، تُستخدم غالبًا لمهام النظام أو - من قبل المهاجمين - للحفاظ على الاستمرارية.
  • الإخفاء (Obfuscation): الإخفاء هو ممارسة تمويه الشيفرة أو البيانات لجعل فهمها أو تحليلها أو اكتشافها صعبًا على البشر أو أدوات الأمان.
Malvertising macOS Threats Infostealer
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news