قام قراصنة الإنترنت بإحياء هجمات ClickFix على نظام macOS باستخدام طرق جديدة تتجنب الحماية المضافة حديثًا، معتمدين على استغلال تطبيق Script Editor عبر روابط URL لزرع برمجيات خبيثة وسرقة البيانات الحساسة للمستخدمين. حذر خبراء الأمن السيبراني من أن هذه الأساليب تتطور باستمرار بهدف الوصول إلى أجهزة الضحايا بطرق أكثر ذكاءً وفعالية.
تُعد هجمات ClickFix من الأساليب القديمة التي كانت تعتمد على إقناع المستخدمين بنسخ ولصق أوامر مباشرة في نافذة الطرفية (Terminal). ومع إصدار macOS 26.4، أصبح هذا الأسلوب غير فعال، إذ تقوم أنظمة التشغيل الجديدة بمسح جميع الأوامر المُلصقة قبل تنفيذها لمنع مثل هذه الهجمات.
لكن القراصنة لم يتوقفوا عند ذلك، فقد استغلوا تطبيق Script Editor، وهو أداة مدمجة في macOS تتيح للمستخدمين كتابة وتنفيذ السكربتات لأتمتة المهام والتحكم في التطبيقات، لدفع الضحايا لتشغيل برمجيات خبيثة. حيث يستخدم المهاجمون روابط URL خاصة تُعرف بـ “نُظُم الروابط” (URL schemes) لإطلاق السكربتات بشكل غير مباشر.
وفقًا لخبراء شركة Jamf Threat Labs، فإن Script Editor لديه سجل حافل في تلقي وتوصيل البرمجيات الخبيثة، وليس من المفاجئ أن يُستخدم مرة أخرى في حملات ClickFix، خاصةً عبر روابط URL مخادعة. يُتيح ذلك للمهاجمين توجيه المستخدمين إلى نافذة Script Editor مملوءة مسبقًا بسكربتات ضارة، بدلاً من طلب إدخال أوامر يدوية في Terminal.
وفي إطار الحملة، أنشأ القراصنة موقعًا إلكترونيًا يدعي أنه يمكن للمستخدمين من خلاله “استعادة مساحة القرص” على جهاز Mac. ولتنفيذ ذلك، يُطلب من المستخدمين الضغط على زر “تنفيذ”، الذي يُطلق رابط URL يحمل بروتوكول applescript://، والذي يفتح تلقائيًا نافذة Script Editor مع السكربت المعد مسبقًا. إذا وافق المستخدم على تشغيله، ينفذ السكربت تلقائيًا ويقوم بزرع برنامج Atomic Stealer، وهو أداة سرقة معروفة قادرة على سرقة كلمات المرور، ومعلومات المحافظ الرقمية، وبيانات المتصفحات، وغيرها من البيانات الحساسة.
هذه الطريقة تقلل من تفاعل المستخدم المباشر، حيث يتم توجيهه من صفحة الويب إلى نافذة Script Editor مملوءة بالسكربتات الخبيثة، بدلاً من الطلب منه إدخال الأوامر يدويًا في الطرفية. وتُعد هذه الأساليب من أخطر الوسائل التي يستخدمها المهاجمون لاستهداف أجهزة macOS، خاصةً أنها تتجنب الحواجز الأمنية الجديدة وتُسهل عملية التنفيذ بشكل خفي وفعال.