كيف يعمل هجوم ClickFix على Mac فعلياً؟

يوجّه الهجوم المستخدمين إلى صفحة Claude AI مزيفة تطلب منهم نسخ أمر ما ولصقه في تطبيق Terminal على Mac. ثم يجلب الأمر، المشفَّر عادةً بـ Base64 لإخفاء غرضه، حمولة ضارة من خادم يتحكم فيه المهاجم وينفذها.

لماذا اختار المهاجمون Claude AI طُعماً لهذه الحملة؟

نما Claude بسرعة كبيرة في شعبيته، وقد يكون المستخدمون الذين يبحثون عنه أقل دراية بقنوات توزيعه الرسمية، مما يجعلهم أكثر عرضةً للوقوع على بدائل احتيالية. يراقب المهاجمون عمداً اتجاهات اعتماد التكنولوجيا ويُعدّلون طُعومهم وفقاً لذلك.

هل يمكن لشبكة VPN حماية المستخدمين من هذا النوع من الهجمات؟

لا، لا تستطيع شبكة VPN منع هجمات النوع ClickFix لأن هذه الهجمات تعتمد على خداع المستخدمين لتنفيذ أوامر ضارة طوعاً بدلاً من استغلال ثغرات على مستوى الشبكة. لا تملك شبكات VPN أي آلية لتقييم ما إذا كانت صفحة الويب ضارة أو ما إذا كان أمر Terminal مؤذياً.

أين يبدأ الهجوم بالنسبة للضحية؟

يبدأ الهجوم بمحرك البحث، حيث زرعت جهات التهديد نتائج خادعة تنتحل صفة صفحات التنزيل أو الوصول الشرعية لـ Claude. يأخذ النقر على أحد هذه الروابط الاحتيالية المستخدمَ إلى صفحة مزيفة مقنعة.

ما الخطوات التي تتخذها Anthropic لمعالجة مخاطر انتحال الهوية؟

وفقاً للمقال، أدخلت Anthropic متطلبات التحقق من الهوية في بعض السياقات المتعلقة بـ Claude للمساعدة في الحد من مخاطر انتحال الهوية على منصتها الخاصة.

نتائج بحث مزيفة لـ Claude AI تُغذّي هجوم ClickFix الجديد على Mac

كشف باحثو الأمن عن موجة جديدة من هجوم ClickFix الاجتماعي الهندسي على Mac، هذه المرة باستخدام نتائج بحث مزيفة لأداة Claude AI من شركة Anthropic كنقطة دخول. تخدع الحملة مستخدمي Mac لتشغيل نصوص برمجية ضارة يمكن أن تؤدي إلى اختراق كامل للنظام وتعرض البيانات للخطر. وهي تذكير صارخ بأن الهجمات المتطورة تستغل بشكل متزايد الثقة في العلامات التجارية المألوفة بدلاً من الثغرات التقنية في البرامج أو الشبكات.

كيف تُوصِّل نتائج البحث المزيفة لـ Claude حمولة ClickFix

يبدأ الهجوم حيث يبدأ معظم الناس يومهم: محرك البحث. زرع جهات التهديد نتائج خادعة تنتحل صفة صفحات التنزيل أو الوصول الشرعية لـ Claude، مساعد الذكاء الاصطناعي الذي يحظى باستخدام واسع من Anthropic. عندما ينقر المستخدم على أحد هذه الروابط الاحتيالية، يُنقل إلى صفحة مزيفة مقنعة تطلب منه نسخ أمر ما ولصقه في تطبيق Terminal على Mac.

هذه هي الآلية الجوهرية لـ ClickFix: لا يحتاج المهاجم إلى استغلال ثغرة في البرنامج. بدلاً من ذلك، تعرض الصفحة رسالة خطأ تبدو معقولة أو تعليمات إعداد، تطلب من المستخدم تنفيذ أمر يدوياً "لإصلاح" مشكلة أو إتمام عملية تثبيت. يكون الأمر عادةً مشفراً بـ Base64 لإخفاء طبيعته الحقيقية. وبمجرد لصقه وتشغيله، يجلب حمولة ضارة من خادم يتحكم فيه المهاجم وينفذها، متجاوزاً في هذه العملية كثيراً من طبقات الأمان التقليدية.

اختيار Claude كطُعم هو قرار مدروس. نما Claude بسرعة كبيرة في شعبيته، وقد يكون المستخدمون الذين يبحثون عنه أقل دراية بقنوات توزيعه الرسمية، مما يجعلهم أكثر عرضةً للوقوع على بديل احتيالي. توضح الحملة كيف يراقب المهاجمون اتجاهات اعتماد التكنولوجيا ويُعدِّلون طُعومهم وفقاً لذلك.

لماذا لا تستطيع الشبكات الافتراضية الخاصة إيقاف هجمات الهندسة الاجتماعية كهذه

من المفيد أن نكون صريحين بشأن شيء قد يفترضه كثير من القراء: الشبكة الافتراضية الخاصة (VPN) لم تكن لتمنع هذا الهجوم. تُشفِّر شبكات VPN حركة الإنترنت الخاصة بك وتُخفي عنوان IP الخاص بك، وهو أمر مفيد فعلاً لحماية البيانات أثناء النقل والحفاظ على الخصوصية على مستوى الشبكة. غير أنها لا تملك أي آلية لتقييم ما إذا كانت صفحة الويب التي تزورها طوعاً ضارة، أو ما إذا كان أمر Terminal الذي تختار تنفيذه مؤذياً.

تنجح هجمات ClickFix لأنها تعمل مع المستخدم لا ضده. المهاجم لا يضخ شيفرة في اتصالك ولا يستغل خللاً في متصفحك. إنه ببساطة يطلب منك فعل شيء ما، وقد صاغ الطلب ليبدو شرعياً. لا تُغيّر أي شبكة VPN أو جدار حماية أو نفق مشفر تلك الديناميكية. لهذا السبب يتطلب الدفاع ضد الهندسة الاجتماعية نهجاً مختلفاً جذرياً عن الدفاع ضد الهجمات القائمة على الشبكة.

تجدر الإشارة أيضاً إلى أن Anthropic نفسها تتخذ خطوات للحد من مخاطر انتحال الهوية على منصتها. أدخلت Anthropic متطلبات التحقق من الهوية لبعض مستخدمي Claude، وهي خطوة تُشير إلى تنامي القلق من الاحتيال وسوء الاستخدام المرتبط بعلامة Claude التجارية. وعلى الرغم من أن هذا الإجراء يحمي المنصة نفسها، فإنه لا يعالج انتحال الهوية خارج المنصة الذي يحدث في نتائج البحث.

ما البيانات وصلاحيات النظام التي يمكن للمهاجمين الحصول عليها

إذا نفَّذ المستخدم أمر Terminal الضار، فقد تكون العواقب وخيمة. يلاحظ الباحثون أن الحمولة يمكن أن تمنح المهاجمين وصولاً واسعاً إلى Mac المخترق، بما في ذلك القدرة على حصد بيانات الاعتماد المخزنة وملفات تعريف ارتباط جلسات المتصفح وملفات محفظة العملات المشفرة والمستندات. ونظراً لأن المستخدم هو من بادر بتنفيذ الأمر، فقد لا تتدخل ميزات أمان macOS كـ Gatekeeper المصممة لحظر البرامج غير المصرح بها.

تُعدّ أدوات سرقة المعلومات التي يتم تسليمها عبر ClickFix خطرة بشكل خاص لأنها تعمل بسرعة وفي صمت. بحلول الوقت الذي يدرك فيه المستخدم وجود خطأ ما، قد تكون بيانات تسجيل الدخول للبريد الإلكتروني والخدمات المصرفية وتطبيقات العمل قد جرى تسريبها بالفعل. في بيئات المؤسسات، يمكن أن يصبح جهاز مخترق واحد نقطة انطلاق للتنقل الجانبي عبر الشبكة.

الدفاع متعدد الطبقات: ما الذي ينبغي لمستخدمي Mac فعله فعلاً

تتطلب حماية نفسك من هجمات النوع ClickFix تراكم العادات والأدوات، وليس الاعتماد على حل واحد.

كن متشككاً في نتائج البحث عن تنزيلات البرامج. تُعدّ النتائج الممولة أو المتلاعب بها في محركات البحث آلية تسليم شائعة للصفحات الضارة. عند البحث عن أي برنامج أو أداة ذكاء اصطناعي، انتقل مباشرةً إلى النطاق الرسمي بدلاً من النقر على نتيجة بحث، خاصةً بالنسبة للأدوات غير المألوفة.

لا تلصق أبداً أوامر Terminal من صفحة ويب. لا يتطلب أي مثبّت برنامج شرعي أو خدمة ويب منك فتح Terminal ولصق أمر يدوياً. إذا طلبت منك صفحة ما ذلك، فاعتبره علامة تحذير فورية بغض النظر عن مدى رسميتها.

حافظ على تحديث macOS ومتصفحك. بينما يتجاوز ClickFix كثيراً من الدفاعات التقنية، تستفيد الأنظمة المحدَّثة من تصحيحات الأمان التي تعالج الثغرات ذات الصلة وتحسينات تحذيرات المتصفح من المواقع المشبوهة.

استخدم أداة أمان نقطة نهاية موثوقة. تحسّن برامج مكافحة الفيروسات والبرمجيات الضارة لـ Mac بشكل ملحوظ. قد تتعرف أداة نقطة النهاية الجيدة على الحمولة التي يتم جلبها حتى لو لم تستطع حظر خطوة الهندسة الاجتماعية الأولية.

فعِّل المصادقة متعددة العوامل في كل مكان. إذا سُرقت بيانات الاعتماد، تُضيف المصادقة متعددة العوامل طبقة حاسمة يمكن أن تمنع المهاجمين من استخدامها فوراً.

الدرس الأشمل هنا هو أن السلامة عبر الإنترنت تتطلب وعياً مستمراً، وليس فقط الأدوات المناسبة التي تعمل في الخلفية. إن مراجعة عاداتك المتعلقة باكتشاف البرامج وتنفيذ الأوامر وإدارة بيانات الاعتماد أكثر قيمة من أي منتج منفرد. بينما يواصل المهاجمون استغلال الثقة في العلامات التجارية المعروفة مثل Claude، فإن إدراك أن التهديدات يمكن أن تصل عبر الإجراءات اليومية — كاستعلام بحث — هو أهم دفاع يمكنك بناؤه.