Вредоносные кампании ClickFix эволюционируют: вместо команд в Терминале используется один клик в браузере для запуска Script Editor и доставки Atomic Stealer. Исследователи Jamf Threat Labs выявили новую схему обхода защиты macOS. — csoonline.com
Кампании вредоносного ПО ClickFix снова эволюционируют: злоумышленники убирают один из самых очевидных и зависящих от пользователя шагов — убеждение жертв вставлять вредоносные команды в Терминал. Вместо этого новейший вариант использует один клик в браузере для запуска выполнения скрипта, упрощая цепочку заражения и снижая колебания пользователя.
Исследователи из Jamf Threat Labs обнаружили новую кампанию для macOS, которая запускает нативное приложение Apple Script Editor непосредственно из браузера, предварительно загруженное вредоносным кодом. Эта техника злоупотребляет схемой URL-адресов applescript:// для автоматического открытия Script Editor, полностью обходя Терминал и доставляя полезные нагрузки Atomic Stealer со значительно меньшим сопротивлением.
«Script Editor имеет хорошо задокументированную историю как механизм доставки вредоносного ПО, поэтому его присутствие здесь не
удивительно», — заявили исследователи в посте в блоге. «Примечательно его роль в этой кампании ClickFix и тот факт, что он был вызван через схему URL-адресов».
Полезная нагрузка не нова. Это Atomic Stealer — разновидность для сбора учетных данных, часто используемая в кампаниях, нацеленных на macOS.
Apple отключает защиту, атакующие ее обходят
Традиционно цепочки ClickFix полагались на социальную инженерию, чтобы заставить пользователей вставлять обфусцированные команды в Терминал. Недавние средства защиты, представленные Apple, включали сканирование и запросы при вставке команд, добавляя ограничения для нарушения этого потока.
Эта кампания обходит их.
Жертв направляют на страницу в стиле Apple, замаскированную под руководство по исправлению или очистке системы. Вместо того чтобы копировать что-либо, они нажимают кнопку, которая вызывает URL-адрес applescript://. Это действие открывает Script Editor с предварительно заполненным скриптом, готовым к выполнению.
Не направляя пользователя на взаимодействие с Терминалом, злоумышленник устранил точку принятия решения, которую Apple ввела с macOS Tahoe 26.4. «Apple напрямую нацелилась на это в macOS 26.4, внедрив функцию безопасности, которая сканирует команды, вставляемые в Терминал, до их выполнения», — добавили исследователи. «Это значительный фактор трения, но, как показывает эта кампания, когда одна дверь закрывается, злоумышленники находят другую».
Script Editor — это нативное приложение macOS и не вызывает такого немедленного подозрения, как Терминал, у неискушенных пользователей. Однако к этой технике все еще существует некоторое нецелевое сопротивление.
Исследователи отметили, что поведение Script Editor может различаться в зависимости от версии macOS. «В последних версиях macOS Tahoe появляется дополнительное предупреждение, требующее от пользователя разрешить сохранение скрипта на диск перед выполнением», — сказали они.
Легковесная подготовка для Atomic Stealer
После выполнения AppleScript преобразуется в обфусцированную командную оболочку. Эта команда декодирует скрытый URL-адрес, извлекает удаленную полезную нагрузку с помощью ‘curl’ и выполняет ее через ‘zsh’. С этого момента начинается стандартный сбор информации с помощью бинарного файла ‘Mach-O’, записанного во временное место, с корректировкой его атрибутов, установкой разрешений и запуском выполнения.
Этот бинарный файл является новой версией Atomic Stealer.
Исследователи отметили, что подход с подготовкой (staging) сохраняет начальный скрипт минимальным и менее обнаруживаемым, в то время как фактическая вредоносная логика поступает отдельно. Он модульный, быстро обновляется и его труднее обнаружить на первой стадии.
Цели Atomic Stealer согласуются с предыдущими кампаниями по краже информации на macOS, которые были сосредоточены на сборе учетных данных браузера, сохраненных паролей, данных криптокошельков и артефактов разработчиков. Предыдущие сообщения показывали, что такие стиллеры редко действуют изолированно, поскольку эксфильтрованные данные почти всегда направляются на атаки с повторным использованием учетных данных и захват аккаунтов.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma