الجانب المظلم للذكاء الاصطناعي: كيف أصبحت محركات البحث وروبوتات الدردشة آلات لنشر برمجيات الماك الخبيثة

موجة جديدة من الهجمات السيبرانية تستغل المحادثات الموثوقة مع الذكاء الاصطناعي وترتيب نتائج محركات البحث لإصابة مستخدمي macOS ببرمجية AMOS لسرقة البيانات - دون الحاجة لأي تنزيلات.

تبدأ القصة ببحث بريء: "كيف أفرغ مساحة القرص على جهاز الماك الخاص بي؟" بعد بضع نقرات، تقوم بنسخ أمر من محادثة مع ChatGPT أو Grok، وتشعر بالاطمئنان بسبب المظهر المألوف للصفحة ونبرة الذكاء الاصطناعي الواثقة. ما لا تعلمه هو أنك سلمت مفاتيح حياتك الرقمية لعملية إجرامية متطورة - دون أي تنزيلات مشبوهة أو علامات تحذير واضحة، فقط عملية نسخ ولصق بسيطة. مرحبًا بك في الجبهة الجديدة للجريمة السيبرانية، حيث أصبح الثقة نفسها هي السلاح.

حقائق سريعة

هجوم بدون تنزيل: يتم خداع المستخدمين لتشغيل أوامر طرفية خبيثة منسوخة من منصات الدردشة الذكية.
تسميم محركات البحث: يقوم المهاجمون بالتلاعب بترتيب Google لإظهار أدلة مزيفة لحل المشاكل على نطاقات ChatGPT وGrok الشرعية.
سرقة متقدمة للاعتمادات: تقوم برمجية AMOS بسرقة كلمات المرور وبيانات محافظ العملات الرقمية بصمت ودون إثارة الشكوك.
عدوى مستمرة: يستخدم البرنامج الخبيث LaunchDaemons وAppleScript لمراقبة العملية وضمان استمرار الوصول حتى بعد إعادة التشغيل أو محاولة الإنهاء.
الحاجة لرصد السلوك: برامج مكافحة الفيروسات التقليدية تفشل في اكتشاف هذه الهجمات؛ يجب على المدافعين مراقبة السلوكيات غير المعتادة للنظام.

تسليح سلطة الذكاء الاصطناعي

تم كشف هذه الحملة من قبل Huntress في 5 ديسمبر 2025، وتمثل تطورًا مرعبًا في استراتيجيات الهجمات السيبرانية. بدلاً من استدراج المستخدمين بتطبيقات مزيفة أو رسائل تصيد، يقوم المهاجمون بتسميم نتائج البحث لدفع مواضيع حقيقية من ChatGPT وGrok - مستضافة على نطاقاتها الموثوقة - تحتوي على "حلول" خطوة بخطوة لمشاكل الماك الشائعة. المشكلة؟ "الحل" هو أمر طرفية يبدأ سلسلة عدوى متعددة المراحل.

عند التنفيذ، يقوم الأمر بتشغيل سكريبت bash يطلب كلمة مرور المستخدم بخبث بحجة التحقق من النظام. لكن بدلاً من نافذة macOS المألوفة، يتم التحقق من الاعتماديات في الخلفية باستخدام dscl-authonly، دون أي حوار مرئي أو بديل لـ Touch ID. ثم يتم تخزين كلمة المرور كنص عادي وتُستخدم لمنح المهاجم وصولاً إداريًا كاملاً عبر sudo -S.

إصرار لا يلين وسرقة بيانات

في المرحلة الثانية، يتم تنزيل برمجية AMOS في مجلد مخفي، مستهدفة بيانات المتصفح، ومدخلات Keychain، والأخطر من ذلك محافظ العملات الرقمية مثل Ledger وTrezor. حتى أن البرمجية تستبدل تطبيقات المحافظ بنسخ ملغومة لخداع المستخدمين وكشف عبارات الاسترداد الحساسة.

لضمان استمرار الوصول، يتم استخدام LaunchDaemon مع AppleScript لمراقبة العملية وضمان إعادة تشغيل البرنامج الخبيث فور قتله، مما يحافظ على موطئ قدم حتى بعد إعادة التشغيل أو تسجيل الخروج. هذا المستوى من الإصرار يجعل الإزالة اليدوية صعبة ويمنح المهاجمين وصولاً مستمرًا للبيانات الحساسة.

سطح هجوم بشري جديد

تتجاوز هذه الطريقة الدفاعات التقنية والنفسية معًا. لا يوجد ملف مشبوه للفحص، ولا رابط تصيد للتدقيق - فقط مساعد ذكاء اصطناعي موثوق ونتيجة بحث جديرة بالثقة. التهديد ليس تقنيًا فقط بل سلوكيًا بعمق: فهو يستغل اعتمادنا المتزايد على الذكاء الاصطناعي في حل مشاكلنا اليومية.

بالنسبة للمدافعين، الرسالة واضحة. الاكتشاف القائم على التوقيعات أصبح عديم الفائدة أمام هجمات تبدو كمهام إدارية شرعية تمامًا. يجب على المؤسسات بدلاً من ذلك مراقبة الأنشطة غير المعتادة في سطر الأوامر، والتنفيذات المخفية، وطلبات الاعتماديات خارج تدفقات واجهة المستخدم القياسية.