يستخدم المهاجمون محادثات ChatGPT وGrok كسلاح لنشر برنامج سرقة AMOS

 

 

 يستغل المهاجمون الآن ثقة المستخدمين بمنصات الذكاء الاصطناعي مثل ChatGPT وGrok لنشر برنامج Aic macOS Sr (AOS).

أن المهاجمين تجاوزوا مجرد انتحال العلامات التجارية الموثوقة إلى استخدام خدمات الذكاء الاصطناعي المشروعة فعليًا لاستضافة برامج خبيثة.

تبدأ سلسلة العدوى بعملية بحث روتينية على جوجل. إذ تظهر للمستخدمين الذين يبحثون عن عبارات شائعة لحل المشكلات، مثل "تنظيف مساحة القرص على macOS"، نتائج بحث متقدمة تبدو كأدلة مفيدة على مواقع شرعية: chatgpt.com وgrok.com.

على عكس أساليب التلاعب التقليدية لتحسين محركات البحث، التي توجه الضحايا إلى مواقع ويب مخترقة، تقود هذه الروابط إلى محادثات حقيقية قابلة للمشاركة على منصتي OpenAI وxAI.

بمجرد نقر المستخدم على الرابط، يظهر له دليل احترافي لحل المشكلات. تُوجه المحادثة، التي أنشأها المهاجم، المستخدم إلى فتح تطبيق Tal في نظام macOS ونسخ أمر محدد ولصقه "لمسح بيانات النظام بأمان".

 

 ولأن النصيحة تبدو وكأنها صادرة عن مساعد ذكاء اصطناعي موثوق به على نطاق ذي سمعة طيبة، فإن المستخدمين غالباً ما يتجاوزون شكوكهم الأمنية المعتادة.

 استغلال محادثات ChatGPT وGrok كسلاح

 لا يقوم الأمر المُنفَّذ بتنزيل ملف تقليدي يُثير تحذيرات Ger في نظام macOS. بل يُشغِّل نصًا برمجيًا مُشفَّرًا بصيغة ba64 يقوم بتنزيل نسخة مُعدَّلة من برنامج سرقة بيانات اعتماد نظام macOS.

يستخدم هذا البرنامج الخبيث تقنية "الاستغلال الخفي" لجمع بيانات الاعتماد دون أي تنبيهات رسومية. كما يستخدم أداة dsl الأصلية للتحقق من صحة كلمة مرور المستخدم سرًا في الخلفية.

 بعد التحقق من صحة كلمة المرور، يتم تمريرها إلى الأمر so -S لمنح صلاحيات الجذر، مما يسمح للبرمجية الخبيثة بتثبيت آليات استمرارية واستخراج البيانات دون أي تدخل إضافي من المستخدم.

تم تحديد العناصر والسلوكيات التالية كمؤشرات رئيسية لهذه الحملة:

 مؤشر الفئة / سياق السلوك
الاستمرارية /Library/LaunchDaemons/com.finder.helper.plist: تم وضع ملف تنفيذي مخفي في مجلد المستخدم الرئيسي.

مسار الملف /Users/$USER/.helper: يُستخدم للتحقق من صحة بيانات الاعتماد الملتقطة دون ظهور مطالبات واجهة المستخدم الرسومية.

مسار الملف /tmp/.pass: ملف مؤقت يُستخدم لتخزين كلمة المرور كنص عادي أثناء عملية رفع مستوى الصلاحيات.

الأمر dscl -authonly <اسم المستخدم>: يُستخدم للتحقق من صحة بيانات الاعتماد الملتقطة دون ظهور مطالبات واجهة المستخدم الرسومية.

الأمر sudo -S: يُستخدم لقبول كلمة المرور عبر الإدخال القياسي للوصول إلى صلاحيات الجذر.

تم إنشاء LaunchDaemon للشبكة للاستمرارية. عنوان URL معروف لخادم التحكم والسيطرة لتسليم الحمولة الأولية (تم فك تشفير Base64).

 

 تُعدّ هذه الحملة خطيرة لأنها تستغلّ "الثقة السلوكية" بدلاً من الثغرات التقنية. ويتجاوز الهجوم وسائل الحماية التقليدية مثل Ger لأن المستخدم يُصرّح صراحةً بتنفيذ الأمر في سطر الأوامر.

يُنصح فرق الأمن بمراقبة أي تنفيذ غير طبيعي لـ opt واستخدام غير معتاد لـ dsl، خاصةً عند ارتباطه بأوامر curl.

 بالنسبة للمستخدمين النهائيين، يتمثل الدفاع الأساسي في السلوك: لن تطلب خدمات الذكاء الاصطناعي المشروعة من المستخدمين تنفيذ أوامر طرفية مبهمة ومشفرة لإجراء مهام الصيانة الروتينية.

يُشكّل التحوّل إلى استخدام نطاقات الذكاء الاصطناعي الموثوقة كبنية تحتية للاستضافة نقطة اختناق جديدة للمدافعين، الذين بات عليهم الآن فحص حركة البيانات إلى تلك المنصات بحثًا عن أنماط خبيثة.