- يعتمد AMOS على قيام المستخدمين بتنفيذ أوامر طرفية ضارة بأنفسهم
- حددت Sophos MDR الهندسة الاجتماعية على غرار ClickFix في هجمات macOS
- نصف بلاغات سرقة نظام التشغيل MacOS تتعلق بـ AMOS، لكن شركة Apple تقاوم ذلك
يعد Atomic macOS Stealer، المعروف أيضًا باسم AMOS، تهديدًا أمنيًا مستمرًا لنظام macOS لأنه لا يحتاج إلى ثغرات يوم صفر متطورة لاختراق أجهزة Apple.
وبدلاً من ذلك، تستغل عائلة البرامج الضارة هذه بشكل متكرر السلوك الطبيعي للمستخدم عن طريق خداعه لكتابة أمر واحد في التطبيق الطرفي الخاص به.
الحادث الأخير الذي تم التحقيق فيه من قبل فرق سوفوس MDR كشفت عن هذا النمط بالضبط: خدعة على غرار ClickFix الضحية لتنفيذ سطر برمجي ضار يدويًا.
يستخدم AMOS التلاعب النفسي بدلاً من الأعمال الفنية
أصبح هذا النهج أكثر وضوحًا، حيث لاحظ الباحثون أساليب الهندسة الاجتماعية المماثلة في حملات سرقة معلومات macOS المتعددة في عام 2025 وأوائل عام 2026.
استحوذ AMOS على ما يقرب من 40% من جميع تحديثات أمان macOS التي نشرتها Sophos في عام 2025، وهو ما يزيد عن ضعف معدل اكتشاف أي عائلة أخرى من برامج macOS الضارة خلال نفس الفترة.
علاوة على ذلك، فإن ما يقرب من نصف جميع تقارير العملاء عن سرقة نظام التشغيل macOS خلال الأشهر الثلاثة الماضية تتعلق بـ AMOS أو إصدارات قريبة منه.
تتتبع شركات الأمن عملية البرمجيات الخبيثة كخدمة منذ أبريل 2023 على الأقل، وفي أغسطس 2025، أبلغت CrowdStrike عن حملات ملحوظة، بما في ذلك متغير يسمى SHAMOS.
في ديسمبر 2025، وثقت Huntress انتشار العدوى من خلال نتائج البحث المسمومة المتعلقة بمحادثات ChatGPT وGrok.
كيف تقوم البرامج الضارة بجمع كلمات المرور والبيانات
بمجرد تنفيذ الأمر الطرفي الأولي لبرنامج التحميل النصي، ستطالب البرامج الضارة المستخدم على الفور بكلمة مرور macOS الخاصة به.
تقوم التعليمات البرمجية الضارة بعد ذلك بالتحقق من صحة بيانات الاعتماد هذه محليًا باستخدام أمر خدمات الدليل البسيط ثم تقوم بتخزينها في ملف مخفي يسمى .pass في الدليل الرئيسي للمستخدم.
بمجرد تأمين كلمة المرور، يقوم AMOS بتنزيل حمولة إضافية تزيل السمات الموسعة لتجاوز تحذيرات أمان macOS.
يتحقق اللص أيضًا مما إذا كان يعمل في جهاز ظاهري أو بيئة اختبار معزولة عن طريق الاستعلام عن بيانات ملف تعريف النظام لمقاييس مثل QEMU أو VMware أو KVM.
تقوم البرامج الضارة بعد ذلك بجمع مجموعة واسعة من المعلومات الحساسة، بما في ذلك قاعدة بيانات macOS Keychain، بيانات اعتماد المتصفح من Firefox وChrome وملفات تخزين الامتدادات والرموز المميزة للجلسة المحلية.
تنشر بعض المتغيرات أيضًا تطبيقات Ledger Wallet وTrezor Suite المزيفة المصممة لسرقة بذور محفظة العملات المشفرة وبيانات الاعتماد.
يتم ضغط جميع الملفات المجمعة في أرشيف واحد باستخدام أداة Ditto ثم يتم إرسالها إلى الخوادم التي يتحكم فيها المهاجم عبر طلبات Curl POST.
وللحفاظ على إمكانية الوصول على المدى الطويل، تقوم البرامج الضارة بتثبيت LaunchDaemon، الذي يضمن التنفيذ التلقائي بعد كل إعادة تشغيل للنظام.
على الرغم من جدية AMOS، فمن المفيد أن نتساءل عما إذا كان بائعو الأمن يبالغون في تقدير حداثته، بالنظر إلى أن لصوص المعلومات كانوا يستهدفون أنظمة Windows منذ ما يقرب من عقدين من الزمن.
إن اعتماد البرامج الضارة بشكل كبير على موافقة المستخدم – حيث يجب على شخص ما طوعًا لصق أمر طرفي وتشغيله – يخلق حاجزًا كبيرًا يمكن للمستخدمين الأذكياء تقنيًا تجاوزه بسهولة.
علاوة على ذلك، فإن تحسينات Apple المستمرة لمتطلبات Gatekeeper وXProtect وكاتب العدل قد تجعل AMOS غير فعال إلى حد كبير خلال عدد قليل من تحديثات نظام التشغيل.
قد لا يكمن الخطر الحقيقي في نظام AMOS نفسه، بل في الحقيقة غير المريحة المتمثلة في أنه لا توجد منصة محصنة ضد المستخدمين الذين يتجاهلون التحذيرات الأمنية الأساسية.
اتبع TechRadar على أخبار جوجل و أضفنا كمصدرك المفضل لتلقي أخبار ومراجعات وآراء الخبراء حول قنواتك.
