محققان امنیت سایبری نسبت به کمپین بدافزاری جدید هشدار دادند که از تاکتیک مهندسی اجتماعی ClickFix برای فریب کاربران جهت دانلود بدافزار سارق اطلاعات به نام Atomic macOS Stealer (AMOS) در سیستمهای macOS اپل استفاده میکند.
طبق گزارش CloudSEK، مشخص شده است که این کمپین از دامنههای typosquat که از ارائهدهنده خدمات مخابراتی مستقر در ایالات متحده، Spectrum، تقلید میکنند، استفاده میکند. بنابر گزارش محققان cloudsek، به کاربران macOS یک شِلاسکریپت مخرب ارائه میشود که برای سرقت رمزهای عبور سیستم و دانلود نوع AMOS برای سوءاستفاده بیشتر طراحی شده است. این اسکریپت از دستورات بومی macOS برای برداشت اعتبارنامهها، دور زدن مکانیسمهای امنیتی و اجرای باینریهای مخرب استفاده میکند. اعتقاد بر این است که این فعالیت به دلیل وجود کامنتهایی به زبان روسی در کد منبع بدافزار، کار مجرمان سایبری روسی زبان است.
در این روش،هنگامی که کاربر برای ارزیابی روی کادر انتخاب “I am human” کلیک میکند، یک پیام خطا با عنوان “CAPTCHA verification failed” نمایش داده میشود و از آنها میخواهد که برای ادامه با «Alternative Verification» روی دکمهای کلیک کنند. انجام این کار باعث میشود یک دستور در کلیپبورد کاربران کپی شود و مجموعهای از دستورالعملها بسته به سیستم عامل آنها به قربانی نشان داده شود. در حالی که آنها با باز کردن کادر Run ویندوز به اجرای یک دستور پاورشل در ویندوز هدایت میشوند، این دستور با یک شِلاسکریپت جایگزین میشود که با راهاندازی برنامه Terminal در macOS اجرا میشود. در ادامه، کاربر ناچار به وارد کردن رمز عبور سیستم خود میشود و پیلود مرحله بعدی که همان سارق اطلاعات شناخته شده Atomic Stealer است را دانلود میکند.
https://thehackernews.com/2025/06/new-atomic-macos-stealer-campaign.html
