موقع CleanMyMac مزيف يضرب مستخدمي macOS ويسرق محافظ العملات

Fake CleanMyMac installs target Apple users to empty crypto wallets

لمحة سريعة

اللافت في هذه الحملة أنها لا تعتمد على ثغرة تقنية معقدة بقدر ما تعتمد على خدعة مقنعة. فبحسب تقرير TechRadar وتحليل Malwarebytes، يستغل المهاجمون موقعًا مزيفًا يشبه صفحة CleanMyMac الرسمية لإقناع المستخدم بفتح Terminal ولصق أمر يبدو طبيعيًا، لكنه في الواقع يحمّل برمجية سرقة بيانات قادرة على الوصول إلى كلمات المرور وبيانات المتصفح وجلسات Telegram ومحافظ العملات المشفرة.

كيف تعمل الخدعة فعليًا؟

الموقع المزيف لا يطلب تنزيل ملف تقليدي، بل يطلب من الضحية تنفيذ أمر يدوي داخل الطرفية. هذا الأسلوب المعروف باسم ClickFix خطير لأنه يجعل المستخدم نفسه ينفذ الهجمة، ما يقلل فاعلية طبقات الحماية المعتادة. وبعد التنفيذ، تُنزَّل برمجية SHub Stealer التي تجمع بيانات الجهاز والمتصفح وسلسلة المفاتيح Keychain، ثم تحاول الوصول إلى تطبيقات المحافظ مثل Exodus وLedger Live وAtomic Wallet.

الأخطر أن الحملة لا تتوقف عند سرقة الملفات أو كلمات المرور المحفوظة، بل تستخدم نافذة مزيفة شبيهة بطلبات macOS الرسمية لالتقاط كلمة مرور تسجيل الدخول نفسها. وإذا حصل المهاجم على هذه الكلمة، يصبح فتح Keychain واستخراج أسرار إضافية أسهل بكثير، ما يرفع قيمة الإصابة من مجرد اختراق عابر إلى سيطرة عملية على الهوية الرقمية والمالية للمستخدم.

لماذا يستحق الخبر النشر عربيًا الآن؟

لأن كثيرين ما زالوا ينظرون إلى macOS بوصفه أقل تعرضًا للهجمات، بينما هذا النوع من الحملات يوضح أن نقطة الضعف الحقيقية قد تكون الهندسة الاجتماعية لا النظام نفسه. عندما يبدو الموقع مقنعًا وتأتي التعليمات بصيغة "حل متقدم" أو "تثبيت يدوي"، يصبح المستخدم التقني نفسه هدفًا مثاليًا، خصوصًا إذا كان يتعامل مع محافظ عملات أو حسابات حساسة.

الخلاصة العملية بسيطة: أي برنامج شرعي تقريبًا لا يفترض أن يطلب منك لصق أمر غامض في Terminal من صفحة ويب. وإذا حدث ذلك، فهذه إشارة حمراء تكفي للتوقف فورًا. ولمن يتابع ملف الأمن الرقمي على المنصات اليومية، يمكن أيضًا قراءة تحليلنا السابق عن حملة استهدفت مستخدمي Signal وWhatsApp عبر الهندسة الاجتماعية.