محققان امنیت سایبری نسبت به کمپین بدافزاری جدیدی هشدار می‌دهند که از تاکتیک مهندسی اجتماعی ClickFix برای فریب کاربران و دانلود بدافزار سارق اطلاعات Atomic macOS Stealer (AMOS) در سیستم‌های macOS اپل استفاده می‌کند.

بر اساس گزارش CloudSEK، این کمپین از دامنه‌های جعلی که شبیه به ارائه‌دهنده خدمات مخابراتی آمریکایی Spectrum هستند، بهره می‌برد. کوشیک پال، محقق امنیتی، در گزارشی که این هفته منتشر شد، توضیح داد: “به کاربران macOS یک اسکریپت شل مخرب ارائه می‌شود که برای سرقت رمزهای عبور سیستم و دانلود نسخه‌ای از AMOS برای سوءاستفاده بیشتر طراحی شده است. این اسکریپت از دستورات بومی macOS برای جمع‌آوری اطلاعات کاربری، دور زدن مکانیزم‌های امنیتی و اجرای فایل‌های باینری مخرب استفاده می‌کند.”

گمان می‌رود که این فعالیت کار مجرمان سایبری روسی‌زبان باشد، زیرا در کد منبع بدافزار نظراتی به زبان روسی وجود دارد.

نقطه شروع حمله، صفحه وبی است که خود را به جای Spectrum جا می‌زند (با آدرس‌هایی مانند “panel-spectrum[.]net” یا “spectrum-ticket[.]net”). بازدیدکنندگان این سایت‌ها با پیامی مواجه می‌شوند که از آنها می‌خواهد برای “بررسی امنیت” اتصال خود، یک تأیید hCaptcha را تکمیل کنند.

هنگامی که کاربر روی چک‌باکس “من انسان هستم” کلیک می‌کند، پیام خطایی با عنوان “تأیید CAPTCHA ناموفق بود” نمایش داده می‌شود و از او خواسته می‌شود برای “تأیید جایگزین” روی دکمه‌ای کلیک کند.

این کار باعث می‌شود دستوری در کلیپ‌بورد کاربر کپی شود و بسته به سیستم عامل، مجموعه‌ای از دستورالعمل‌ها به قربانی نشان داده شود. در حالی که کاربران ویندوز راهنمایی می‌شوند تا با باز کردن پنجره Windows Run یک دستور PowerShell را اجرا کنند، در macOS این دستور با یک اسکریپت شل جایگزین می‌شود که با راه‌اندازی برنامه Terminal اجرا می‌گردد.

اسکریپت شل از کاربران می‌خواهد رمز عبور سیستم خود را وارد کنند و سپس بار مخرب مرحله بعدی را دانلود می‌کند که در این مورد، سارق شناخته شده‌ای به نام Atomic Stealer است.

پال توضیح داد: “منطق ضعیف پیاده‌سازی شده در سایت‌های توزیع، مانند دستورالعمل‌های ناهماهنگ در پلتفرم‌های مختلف، نشان‌دهنده زیرساخت‌هایی است که با عجله جمع‌آوری شده‌اند. صفحات توزیع مربوط به این کمپین AMOS حاوی نادرستی‌هایی در برنامه‌نویسی و منطق رابط کاربری بودند. برای کاربران لینوکس، دستور PowerShell کپی می‌شد. علاوه بر این، دستورالعمل ‘کلید Windows + R را نگه دارید’ به کاربران ویندوز و مک نمایش داده می‌شد.”

این افشاگری در حالی صورت می‌گیرد که در سال گذشته شاهد افزایش کمپین‌هایی بوده‌ایم که از تاکتیک ClickFix برای توزیع انواع مختلف خانواده‌های بدافزار استفاده می‌کنند.

Darktrace اعلام کرد: “مهاجمانی که این حملات هدفمند را انجام می‌دهند، معمولاً از تکنیک‌ها، ابزارها و رویه‌های مشابهی برای دسترسی اولیه استفاده می‌کنند. این موارد شامل حملات فیشینگ هدفمند، حملات drive-by، یا سوءاستفاده از اعتماد به پلتفرم‌های آنلاین آشنا مانند GitHub برای ارائه بارهای مخرب است.”

لینک‌های توزیع شده از طریق این روش‌ها معمولاً کاربر نهایی را به URL مخربی هدایت می‌کنند که یک تأیید CAPTCHA جعلی را نمایش می‌دهد و در تلاش برای فریب کاربران، آن را تکمیل می‌کند تا آنها فکر کنند کار بی‌ضرری انجام می‌دهند، در حالی که در واقعیت برای رفع مشکلی که وجود ندارد، راهنمایی می‌شوند تا دستورات مخرب را اجرا کنند.

نتیجه نهایی این روش مؤثر مهندسی اجتماعی این است که کاربران خودشان سیستم‌های خود را به خطر می‌اندازند و عملاً کنترل‌های امنیتی را دور می‌زنند.

در یک حادثه آوریل 2025 که توسط Darktrace تحلیل شد، مشخص شد که مهاجمان ناشناس از ClickFix به عنوان بردار حمله برای دانلود بارهای مخرب نامشخص استفاده کردند تا عمیق‌تر در محیط هدف نفوذ کنند، حرکت جانبی انجام دهند، اطلاعات مربوط به سیستم را از طریق درخواست HTTP POST به سرور خارجی ارسال کنند و در نهایت داده‌ها را سرقت کنند.

Darktrace گفت: “طعمه‌گذاری ClickFix تاکتیکی است که به طور گسترده استفاده می‌شود و در آن مهاجمان از خطای انسانی برای دور زدن دفاع‌های امنیتی سوءاستفاده می‌کنند. با فریب کاربران نقاط پایانی برای انجام اقدامات به ظاهر بی‌ضرر و روزمره، مهاجمان دسترسی اولیه به سیستم‌هایی را به دست می‌آورند که می‌توانند به داده‌های حساس دسترسی پیدا کرده و آنها را سرقت کنند.”

حملات ClickFix دیگر از نسخه‌های جعلی سایر سرویس‌های محبوب CAPTCHA مانند Google reCAPTCHA و Cloudflare Turnstile برای توزیع بدافزار تحت پوشش بررسی‌های امنیتی معمول استفاده کرده‌اند. این صفحات جعلی “کپی‌های دقیق پیکسل به پیکسل” از نمونه‌های قانونی خود هستند و گاهی حتی در وب‌سایت‌های واقعی اما هک شده تزریق می‌شوند تا کاربران بی‌خبر را فریب دهند.

سارق‌هایی مانند Lumma و StealC، و همچنین تروجان‌های دسترسی از راه دور کامل مانند NetSupport RAT از جمله بارهای مخربی هستند که از طریق صفحات جعلی Turnstile توزیع می‌شوند.

دانیل کلی از SlashNext گفت: “کاربران اینترنت مدرن با بررسی‌های اسپم، CAPTCHA‌ها و درخواست‌های امنیتی در وب‌سایت‌ها مواجه هستند و آموخته‌اند که هر چه سریع‌تر از آنها عبور کنند. مهاجمان از این ‘خستگی تأیید’ سوءاستفاده می‌کنند، زیرا می‌دانند بسیاری از کاربران با هر مرحله‌ای که ارائه شود، اگر معمولی به نظر برسد، موافقت خواهند کرد.”