- AMOS تعتمد على المستخدمين لتنفيذ الأوامر الضارة بأنفسهم
- Sophos MDR حددت أساليب الهندسة الاجتماعية على طراز ClickFix في هجمات macOS
- نصف تقارير سرقة macOS تضمنت AMOS، لكن آبل تتصدى لذلك
سرقة macOS الذرية، المعروفة أيضًا باسم AMOS، تهديد أمني مستمر على macOS لأنها لا تحتاج إلى ثغرات يوم الصفر المعقدة لاختراق أجهزة آبل.
بدلاً من ذلك، تستغل هذه العائلة من البرمجيات الخبيثة سلوك المستخدمين العاديين من خلال خداعهم لكتابة أمر واحد في تطبيق Terminal الخاص بهم.
حادثة حديثة تم التحقيق فيها من قبل فرق Sophos MDR كشفت عن هذا النمط بالتحديد: خدعة على طراز ClickFix أقنعت ضحية بتنفيذ سطر من التعليمات البرمجية الضارة يدويًا.
AMOS تستخدم التلاعب النفسي بدلاً من الاستغلالات التقنية
أصبح هذا النهج أكثر بروزًا، حيث لاحظ الباحثون تكرار أساليب الهندسة الاجتماعية في عدة حملات سرقة معلومات على macOS خلال عامي 2025 وأوائل 2026.
شكلت AMOS حوالي 40% من جميع تحديثات الحماية على macOS التي أعلنت عنها شركة Sophos في عام 2025، مما يزيد من معدل اكتشاف أي عائلة أخرى من البرمجيات الخبيثة على macOS خلال نفس الفترة.
علاوة على ذلك، كانت نصف تقارير العملاء المتعلقة بسرقة macOS في الأشهر الثلاثة الماضية تتضمن AMOS أو نسخ قريبة منها.
تتبع شركات الأمن هذه العملية كخدمة من البرمجيات الخبيثة منذ على الأقل أبريل 2023، مع حملات بارزة تشمل نسخة تُدعى SHAMOS والتي وردت بواسطة CrowdStrike في أغسطس 2025.
في ديسمبر 2025، وثقت Huntress العدوى التي تنتشر من خلال نتائج بحث ملوثة مرتبطة بـ ChatGPT ومحادثات Grok.
كيف تجمع البرمجيات الخبيثة كلمات المرور والبيانات
بعد تنفيذ الأمر الأول في Terminal الذي يقوم بتشغيل برنامج تمهيدي، تطلب البرمجية الخبيثة من المستخدم على الفور كلمة مرور النظام له.
ثم يتحقق الرمز الضار من صحة هذه الشهادة محليًا باستخدام أمر بسيط لخدمات الدليل قبل تخزينها في ملف مخفي يُدعى .pass داخل دليل المستخدم.
بمجرد تأمين كلمة المرور، يقوم AMOS بتنزيل حمولة إضافية تزيل الخصائص الممتدة لتجاوز تحذيرات أمان macOS.
تتحقق برمجية السرقة أيضًا مما إذا كانت تعمل داخل جهاز افتراضي أو بيئة صندوق رمل من خلال استعلام بيانات system_profiler عن مؤشرات مثل QEMU أو VMware أو KVM.
ثم تقوم البرمجية الخبيثة بجمع مجموعة واسعة من المعلومات الحساسة، بما في ذلك قاعدة بيانات سلسلة مفاتيح macOS، بيانات اعتماد المتصفح من Firefox وChrome، وملفات تخزين الامتداد، ورموز الجلسات المحلية.
بعض النسخ أيضًا تنشر تطبيقات مزيفة لـ Ledger Wallet وTrezor Suite مصممة لسرقة مفاتيح ومحافظ العملات المشفرة.
يتم ضغط جميع الملفات المجمعة في أرشيف واحد باستخدام أداة ditto قبل إرسالها إلى خوادم تتحكم بها المهاجمون عبر طلبات POST باستخدام curl.
للحفاظ على الوصول الطويل الأمد، تقوم البرمجيات الخبيثة بتثبيت LaunchDaemon يضمن تنفيذًا تلقائيًا بعد كل إعادة تشغيل للنظام.
على الرغم من خطورة AMOS، فإنه من المفيد التساؤل عما إذا كانت شركات الأمان تغالي في مدى جديته، نظرًا لأن البرمجيات الخبيثة لجمع المعلومات كانت تستهدف أنظمة Windows منذ ما يقرب من عقدين.
يعتمد الأمر بشدة على موافقة المستخدم – يجب على شخص ما أن يوافق طواعية على لصق وتشغيل أمر Terminal – مما يخلق عقبة كبيرة قد يتجنبها المستخدمون ذوو المعرفة التقنية بسهولة.
علاوة على ذلك، يمكن أن تجعل تحسينات آبل المستمرة على Gatekeeper وXProtect ومتطلبات التوثيق AMOS غير فعالة إلى حد كبير ضمن عدد قليل من تحديثات النظام.
قد تكمن الخطر الحقيقي أقل في AMOS نفسه وأكثر في الحقيقة المزعجة أن أي منصة ليست محصنة ضد المستخدمين الذين يتجاهلون تحذيرات الأمان الأساسية.
