اجتماعات شبحية: كيف تختطف مجموعة لازاروس الكورية الشمالية مستخدمي macOS عبر هجمات ClickFix الخادعة

العنوان الفرعي: قراصنة كوريون شماليون يستدرجون التنفيذيين إلى اجتماعات وهمية عبر الإنترنت، مطلقين موجة جديدة من برمجيات macOS الخبيثة من خلال حيل ClickFix الماكرة.

تبدأ برسالة من زميل موثوق - دعوة إلى اجتماع عمل على Zoom أو Teams. لكن خلف الواجهة المألوفة تتربص عملية تجسس سيبراني كورية شمالية، جاهزة لسرقة الأسرار والثروات الرقمية بنقرة واحدة. وفي تطور مخيف للهندسة الاجتماعية، تستهدف مجموعة لازاروس سيئة السمعة الآن مستخدمي macOS بحملة برمجيات خبيثة لا تقل خداعًا عن خطورتها.

حقائق سريعة

تستغل مجموعة لازاروس هندسة ClickFix الاجتماعية لاستهداف مستخدمي macOS في قطاعي التكنولوجيا المالية والعملات المشفرة.
ينتحل المهاجمون صفة زملاء عبر Telegram، ويرسلون دعوات اجتماعات مزيفة لكسب الثقة.
يُخدع الضحايا لتشغيل أوامر خبيثة، متجاوزين العديد من ضوابط الأمان.
تسرق البرمجية الخبيثة بيانات الاعتماد وبيانات المتصفح وأسرار سلسلة المفاتيح قبل أن تدمر نفسها.
تكشف العيوب التقنية في البرمجية الخبيثة عن نقاط ضعف تشغيلية، لكن الأساليب الاجتماعية تظل شديدة الفاعلية.

داخل دليل لعب ClickFix لدى لازاروس

وفقًا لأبحاث حديثة من Any.Run وخبير الأمن الهجومي ماورو إلدريتش، تستغل أحدث حملة لمجموعة لازاروس الثقة البشرية وروتين العمل. تبدأ العملية بقرصان - غالبًا باستخدام حساب Telegram مخترق لشخص يعرفه الضحية - يتواصل متخفيًا وراء فرصة عمل مشروعة أو عرض وظيفة. يتلقى الهدف دعوة إلى اجتماع افتراضي، ليُبلَّغ بعدها بأن مشكلات تقنية تتطلب “إصلاحًا سريعًا” قبل المتابعة.

هنا يأتي دور ClickFix. يُطلب من الضحية تشغيل أمر أو تنزيل ملف، بزعم حل مشكلات الاتصال. ولأن المستخدم هو من يبادر بالفعل، غالبًا ما تعجز برامج الحماية عن رصد التهديد - لا مرفق مشبوه، ولا رابط تصيّد مُعلَّم. استخدام المهاجمين لذريعة اجتماعات العمل يخفض مستوى الحذر، ما يجعل حتى التنفيذيين المتمرسين عرضة للخداع.

بمجرد تنفيذ الأمر، يُثبَّت تطبيق macOS متنكر (غالبًا باسم بريء مثل “teamsSDK.bin”). يطلق هذا التطبيق ملفًا ثنائيًا من المرحلة الثانية - أداة تعريف بالنظام - تتصل ببنية المهاجم للتحكم والسيطرة (C2). بعد ذلك، تضمن آلية الاستمرارية بقاء البرمجية الخبيثة بعد إعادة التشغيل، ويتم تفعيل الحمولة الأساسية “macrasv2”. يقوم السارق بهدوء بجمع بيانات حساسة: بيانات اعتماد المتصفح وملفات تعريف الارتباط وحتى إدخالات سلسلة مفاتيح macOS، ويجمعها تمهيدًا لتهريبها عبر Telegram.

ومن المفارقات أنه بينما تبدو الهندسة الاجتماعية متقنة، فإن البرمجية الخبيثة نفسها مليئة بعيوب تقنية. فقد لاحظ الباحثون برمجة رديئة، ورموز بوت مكشوفة، وحتى حلقات لا نهائية قد تتسبب في تعطل الأنظمة - ما قد يفضح وجودها. ومع ذلك، يكمن الخطر الحقيقي في الخداع الأولي: التلاعب بالثقة والروتين وآداب التعامل الرقمية.

دروس من خط المواجهة الرقمي

تؤكد هجمات ClickFix حقيقة قاسية: حتى أدوات الأمان المتقدمة يمكن تقويضها بقرار بشري واحد في توقيت مناسب. يجب على المؤسسات أن تتجاوز الدفاعات التقنية، وأن تستثمر في تدريب قوي على الوعي الأمني وتغرس ثقافة شك صحي - خصوصًا لدى القادة والأهداف عالية القيمة. إذا جاءت دعوة اجتماع يومًا مصحوبة بطلب “فقط شغّل هذا الأمر”، فقد حان وقت التوقف والتحقق قبل المتابعة بالنقر.

WIKICROOK

ClickFix: ClickFix هو احتيال يُخدع فيه المستخدمون لنسخ ولصق شيفرة ضارة، غالبًا بعد اختبار CAPTCHA مزيف، ما يعرّض حساباتهم وبياناتهم للخطر.
Lazarus Group: مجموعة لازاروس هي فريق قرصنة كوري شمالي مدعوم من الدولة، معروف بهجمات سيبرانية عالمية وسرقة الأموال لتمويل أنشطة النظام.
macOS Keychain: سلسلة مفاتيح macOS هي مدير كلمات مرور آمن من Apple، يخزن بيانات اعتماد المستخدم والبيانات الحساسة ويشفّرها على أجهزة Mac لسهولة الوصول.
Command: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالبًا بواسطة خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
Persistence Mechanism: آلية الاستمرارية هي طريقة تستخدمها البرمجيات الخبيثة للبقاء نشطة على النظام، بحيث تصمد أمام إعادة التشغيل ومحاولات الإزالة من قبل المستخدمين أو أدوات الأمان.