قامت Jamf Threat Labs، ذراع الأبحاث الأمنية للشركة، مؤخرًا بمشاركة تفاصيل هجوم على غرار ClickFix اكتشفته وهو يعمل كإعلان مدعوم على موقع التواصل الاجتماعي X. وقد نشأ هذا الهجوم من حساب معروف تم التحقق منه، وقام بالترويج لمجال ضار تحت ستار تطبيق Mac شائع.

كان الإعلان المعني يمثل DynamicLake، وهي أداة مساعدة مشروعة لنظام Mac تعمل على تحويل فتحة جهاز MacBook الخاص بك إلى جزيرة ديناميكية غير رسمية ولكنها تعمل بكامل طاقتها.

لقطة شاشة للتغريدة الخبيثة التي ترعاها والتي تتظاهر بأنها DynamicLake الحقيقية.
عبر Jamf Threat Labs.

ولكن وفقًا لتحقيق Jamf، فإن الرابط الأصلي الموضح أعلاه يعيد التوجيه إلى موقع Dynamicmacisland[.]com، وهو نطاق مشابه ضار لا علاقة له بالتطبيق الفعلي.

بمجرد الوصول إلى هناك، تم توجيه الزائرين لفتح الوحدة الطرفية ولصق رمز التثبيت الذي من شأنه تثبيت البرامج الضارة بهدوء على جهاز Mac الخاص بالضحية. هذه تقنية كلاسيكية تحدد هجمات الهندسة الاجتماعية ClickFix.

لن تطلب منك التطبيقات الشرعية، التي تم توقيعها وإبلاغها بواسطة Apple، القيام بذلك أبدًا.

صفحة مقصودة ضارة مع هجوم ClickFix. لقطة شاشة عبر Jamf Threat Labs.

حدد Jamf الحمولة على أنها نسخة حديثة من Atomic Stealer، والتي يتتبعها باسم MacSync. تم أيضًا تحديد حالات DigitStealer في هذا الهجوم أيضًا.

الحساب معروف

جاء الإعلان من حساب تم التحقق منه وله عدد كبير من المتابعين، مما يجعل هذا الأمر أكثر إثارة للاهتمام وأكثر خطورة. لقد اخترت إبقاء اسم الحساب مجهولًا لحماية هوية المالك، لأنه لم ينوي نشر البرامج الضارة.

بكل المقاييس، وثق المالك بالإعلان ووافق عليه لحسابه، معتقدًا أنه مشروع، دون أن يكون لديه أي فكرة أنه أدى إلى نطاق ضار. تمنح الشارة التي تم التحقق منها والاسم المألوف مستوى من الثقة لا يمكن لأي حساب عشوائي أن يوفره.

الثقة هي الأساس الأساسي لأي هجوم جيد في مجال الهندسة الاجتماعية أيضًا.

القصة الأكبر هي كيف سمح X بحدوث ذلك

إن خداع صاحب الحساب هو شيء واحد. X الموافقة على الإعلان ودفعه كمنشور يتم الترويج له هو أمر آخر.

تم تشغيل هذا من خلال نظام إعلانات X، والفحوصات وكل شيء، ولا يزال يصل إلى المستخدمين. من المؤكد تقريبًا أن النطاق المشابه وإعادة التوجيه الفردي كانا موجودين للمساعدة في تجاوز أي من عمليات الفحص التلقائية لـ X. وعملت…

هذا يجب أن يمنحك déjà vu عدة مرات. في السنوات الأخيرة، شهدنا موافقة إعلانات Google على عدد هائل من النطاقات الضارة التي تم الترويج لها في الجزء العلوي من بحث Google. تضمنت إحدى الحالات في العام الماضي الترويج لقوائم Homebrew المزيفة في نتائج البحث والتي وزعت برامج ضارة على مستخدمي Mac.

9to5Mac تواصلت مع X للتعليق ولم أتلق ردًا على الفور.

رد المطور

على الرغم من أن هذا هو المثال الأول الذي رأيناه لبرامج ضارة يتم الترويج لها من خلال الإعلانات على X، إلا أن مطور DynamicLake الحقيقي كان يحارب النسخ الضارة منذ فترة.

أصبحت المنتجات المزيفة منتشرة على نطاق واسع لدرجة أنها وصلت إليها 9to5Mac مباشرة وطلب مشاركة بيان في هذه القطعة:

أنا آسف حقًا لأي شخص أراد تثبيت DynamicLake ولكن انتهى به الأمر إلى تنزيل هذه البرامج الضارة بدلاً من ذلك. DynamicLake هو ببساطة تطبيق يقدم Dynamic Island لنظام التشغيل Mac، ولم أتخيل أبدًا أن شخصًا ما قد يسيء استخدام العلامة التجارية بهذه الطريقة.

أنا أعمل جاهدة لمحاربة هذه النسخ المزيفة، ولكن لسوء الحظ تستمر ظهور نسخ جديدة كل بضعة أشهر. لن أتخلى عن حماية المشروع والمجتمع.

إذا كنت بحاجة إلى أي مساعدة أو لم تكن متأكدًا من أنك قمت بتنزيل التطبيق الشرعي، فلا تتردد في التواصل معي. يرجى التأكد من تنزيل DynamicLake فقط من DynamicLake.com، حيث تتم معالجة عمليات الشراء بشكل آمن من خلال Gumroad.

أشكركم على دعمكم، ومرة ​​أخرى، أنا آسف على الإزعاج.

أبلغت Jamf Threat Labs الإعلان إلى X وتمت إزالته بسرعة كبيرة.

هل يقوم X بما يكفي لإبعاد الإعلانات الضارة عن النظام الأساسي، أم أن هذه معركة مستحيلة الفوز فيها؟ اسمحوا لي أن أعرف أفكارك في التعليقات.


احصل على المزيد من Arin Waichulis في عمود 9to5Mac Security Bite الأسبوعي والبودكاست نصف الأسبوعي.

أضف 9to5Mac كمصدر مفضل على Google
أضف 9to5Mac كمصدر مفضل على Google

FTC: نحن نستخدم الروابط التابعة التلقائية لكسب الدخل. أكثر.

شاركها.
اترك تعليقاً