كشفت منصة بينانس (Bybit) عن تفاصيل حملة خبيثة متعددة المراحل تستهدف أجهزة macOS، وتستهدف المستخدمين الذين يبحثون عن “Claude Code”، وهي أداة تطوير ذكاء اصطناعي من شركة Anthropic. ووفقًا لتقارير مركز عمليات الأمن (SOC) الخاص بالمنصة، والتي نُشرت في 21 أبريل، تُعتبر هذه الحملة واحدة من أولى الحالات الموثقة علنًا التي تكتشف فيها منصة تداول عملات رقمية مركزية (CEX) تهديدًا نشطًا يستغل قنوات البحث عن أدوات الذكاء الاصطناعي لاستهداف المطورين.
تقول Bybit إن الحملة تم اكتشافها لأول مرة في مارس 2026، واعتمدت على تسميم نتائج محركات البحث (SEO) لرفع نطاق ضار إلى أعلى نتائج بحث جوجل. المستخدمون الذين يبحثون عن “Claude Code” يتم إعادة توجيههم إلى صفحة تثبيت مزيفة تشبه إلى حد كبير الوثائق الرسمية.
سلسلة برمجيات خبيثة متعددة المراحل تستهدف بيانات الدخول ومحافظ العملات الرقمية
وجد تحليل Bybit أن الهجوم استخدم سلسلة من برمجيات خبيثة من مرحلتين. الحمولة الأولى، التي تم تسليمها عبر أداة إسقاط من نوع Mach-O، قامت بتثبيت برنامج سارق للمعلومات يعتمد على osascript، ويظهر خصائص مشابهة لسلالات AMOS و Banshee المعروفة.
نفذ برنامج السرقة عملية تشويش متعددة المراحل لاستخراج بيانات حساسة، بما في ذلك بيانات تسجيل الدخول من المتصفحات، وإدخالات سلسلة مفاتيح macOS، وجلسات Telegram، وملفات تعريف VPN، ومعلومات محافظ العملات الرقمية. حدد باحثو Bybit محاولات وصول مستهدفة لأكثر من 250 إضافة محفظة تعمل في المتصفح، بالإضافة إلى العديد من تطبيقات المحافظ المكتبية.
أدخلت الحمولة الثانية بابًا خلفيًا يعتمد على لغة C++ ويتميز بتقنيات تهرب متقدمة مثل اكتشاف البيئة المعزولة وتكوين وقت التشغيل المشفر. أنشأت البرمجية الخبيثة استمرارية من خلال وكلاء على مستوى النظام، ومكّنت تنفيذ الأوامر عن بُعد عبر استقصاء HTTP، مما سمح للمهاجمين بالحفاظ على تحكم مستمر في الأجهزة المخترقة.
كشف التحقيق أيضًا عن تقنيات هندسة اجتماعية، بما في ذلك نوافذ مزيفة لتسجيل كلمة مرور macOS تُستخدم للتحقق من صحة بيانات المستخدم وتخزينها مؤقتًا. في بعض الحالات، حاول المهاجمون استبدال تطبيقات المحافظ الشرعية مثل Ledger Live و Trezor Suite بنسخ مزيفة مستضافة على بنية تحتية ضارة.
تحليل مدعوم بالذكاء الاصطناعي يُسرّع الاكتشاف والاستجابة
قالت Bybit إن مركز عمليات الأمن الخاص بها استخدم سير عمل مدعوم بالذكاء الاصطناعي عبر دورة حياة تحليل البرمجيات الخبيثة بأكملها، مما قلل بشكل كبير من أوقات الاستجابة مع الحفاظ على عمق التحليل. تم إكمال الفحص الأولي وتصنيف عينة Mach-O في غضون دقائق، حيث قامت نماذج الذكاء الاصطناعي بتحديد أوجه التشابه السلوكي مع عائلات البرمجيات الخبيثة المعروفة.
وفقًا للشركة، أدى التحليل العكسي المدعوم بالذكاء الاصطناعي وتحليل تدفق التحكم إلى تقليل الفحص العميق للباب الخلفي للمرحلة الثانية من ست إلى ثماني ساعات تقديرية إلى أقل من 40 دقيقة. حددت خطوط الأنابيب الآلية للاستخراج مؤشرات الاختراق، بما في ذلك البنية التحتية للتحكم والأوامر، وتوقيعات الملفات، والأنماط السلوكية، والتي تم ربطها بأطر التهديدات المعمول بها.
مكنت هذه القدرات من نشر إجراءات الكشف في نفس اليوم. دعمت قواعد التوليد المدعومة بالذكاء الاصطناعي إنشاء توقيعات التهديدات وقواعد الكشف على نقاط النهاية، والتي تم التحقق من صحتها من قبل المحللين قبل دفعها إلى بيئات الإنتاج. قالت Bybit إن المسودات التقارير التي تم إنشاؤها بواسطة الذكاء الاصطناعي قللت من وقت الإنجاز، مما سمح بإنهاء مخرجات استخبارات التهديدات أسرع بنسبة 70٪ تقريبًا مقارنة بسير العمل التقليدي.
استهدفت البرمجية الخبيثة مجموعة واسعة من البيئات، بما في ذلك المتصفحات المبنية على Chromium، وإصدارات Firefox المختلفة، وبيانات Safari، وملاحظات Apple، ودلائل الملفات المحلية التي تُستخدم عادةً لتخزين المعلومات المالية الحساسة أو بيانات المصادقة.
قالت Bybit إنها حددت نطاقات متعددة ونقاط نهاية للتحكم والأوامر مرتبطة بالحملة، وتم نزع سلاحها جميعًا للإفصاح العلني. أشار التحليل إلى أن المهاجمين اعتمدوا على استقصاء HTTP المتقطع بدلاً من الاتصالات المستمرة، مما جعل الاكتشاف أكثر صعوبة.
وفقًا لـ Bybit، تم تحديد البنية التحتية الخبيثة المرتبطة بالحملة في 12 مارس. تم إكمال التحليل الكامل والإجراءات التخفيفية وإجراءات الكشف الداخلي في نفس اليوم. تبع ذلك الإفصاح العلني في 20 مارس، مصحوبًا بإرشادات مفصلة للاكتشاف والمعالجة لمساعدة المستخدمين على تحديد التهديدات المماثلة والتخفيف من حدتها.
الأسئلة الشائعة (FAQ)
- س: ما هي الحملة الخبيثة التي كشفت عنها Bybit؟
ج: الحملة هي هجوم متعدد المراحل يستهدف أجهزة macOS، ويستغل البحث عن أداة “Claude Code” لتثبيت برمجيات خبيثة تسرق بيانات الدخول ومحافظ العملات الرقمية. - س: كيف يستهدف المهاجمون المستخدمين؟
ج: يستخدم المهاجمون تقنية تسميم نتائج محركات البحث (SEO) لظهور نطاق ضار في أعلى نتائج بحث جوجل، ثم يعيدون توجيه المستخدمين إلى صفحة تثبيت مزيفة تشبه الوثائق الرسمية. - س: كيف ساعد الذكاء الاصطناعي في كشف هذه الحملة؟
ج: استخدم مركز عمليات الأمن في Bybit الذكاء الاصطناعي لتسريع تحليل البرمجيات الخبيثة، مما قلل وقت الفحص من ساعات إلى دقائق، وساعد في إنشاء قواعد الكشف وتقارير استخبارات التهديدات بشكل أسرع بنسبة 70٪.
