Новая кампания по распространению стилера для macOS использует доверие пользователей к Apple, Google и Microsoft для обхода защиты. Исследователи SentinelOne выявили вариант SHub «Reaper», который перешел от атак через Терминал к использованию Редактора скриптов. — csoonline.com
Недавно обнаруженная кампания по распространению стилера для macOS использует доверие пользователей к крупнейшим именам в сфере технологий, чтобы обойти средства защиты.
Исследователи из SentinelOne подробно описали новый вариант семейства вредоносного ПО SHub, получивший название «Reaper», который на разных этапах одной цепочки атак, нацеленной на пользователей Mac, выдает себя за Apple, Google и Microsoft. Семейство стилеров SHub, выявленное два года назад, ранее использовало варианты, основанные на поддельных установщиках и социальной инженерии в стиле ClickFix, часто требуя от жертв вставлять команды в Терминал.
Reaper меняет тактику, перенося выполнение в Редактор скриптов Apple, обходя таким образом защиты, недавно внедренные Apple для пресечения атак, основанных на использовании Терминала. Конечная цель, однако, остается прежней: кража учетных данных, компрометация криптокошельков и обеспечение постоянного доступа.
«Вариант SHub Reaper представляет собой заметную эволюцию в области стилеров для macOS, поскольку он отходит от стандартных методов социальной инженерии, требующих от жертв вручную вставлять команды в Терминал», — заявил Джейсон Сороко, старший научный сотрудник Sectigo. «Этот подход снижает технический барьер для заражения и демонстрирует стратегический поворот в сторону злоупотребления нативными обработчиками приложений, а не опоры исключительно на ошибки пользователей».
Поддельные обновления Apple запускают скрытый AppleScript
Атака начинается с того, что пользователей заманивают на вредоносные веб-сайты, где отображаются поддельные оповещения безопасности Apple. Затем страницы инициируют рабочий процесс ClickFix, инструктируя пользователей запустить предполагаемое исправление через Редактор скриптов, а не через Терминал.
Вместо того чтобы заставлять пользователя копировать и вставлять команды оболочки, как раньше, Reaper теперь злоупотребляет обработчиком URI applescript:// для предварительного заполнения вредоносным AppleScript внутри Редактора скриптов. Затем жертву с помощью социальной инженерии, через ClickFix, убеждают запустить скрипт самостоятельно.
Таким образом, жертвы по-прежнему сами выполняют вредоносное ПО, но просто больше его не видят.
Исследователи SentinelOne отметили, что вредоносное ПО также выполняет ряд проверок среды и антианализа перед продолжением выполнения. После активации вредоносное ПО развертывает дополнительные полезные нагрузки и обеспечивает постоянство через LaunchAgents, маскирующиеся под легитимные файлы поставщиков.
«Защитникам следует сместить фокус обнаружения macOS с файловых сигнатур на поведение, поскольку Reaper выполняется через легитимные инструменты Apple и не оставляет очевидного вредоносного приложения, которое мог бы обнаружить сканер», — заявил Коллин Хоуг-Спирс, старший директор по управлению решениями в Black Duck. «Редактор скриптов, osascript и LaunchAgent — это все легитимное программное обеспечение».
Многобрендовый обман
Исследователи обнаружили, что вредоносное ПО использует брендинг, связанный с несколькими технологическими компаниями, на протяжении всей цепочки атак. Предупреждения безопасности в стиле Apple заманивают жертв на инициирование выполнения, интерфейсы, связанные с Google, помогают поддерживать легитимность на более поздних этапах, в то время как домены и инфраструктура, связанные с Microsoft, используются в других частях операции.
«Reaper использует поддельные установщики WeChat и Miro в качестве приманок, но примечательно то, как цепочка заражения меняет свою маскировку на каждом этапе», — заявили исследователи в записи в блоге. «Полезная нагрузка может размещаться на домене Microsoft с опечаткой, выполняться под видом обновления безопасности Apple и сохраняться из поддельной папки Google Software Update».
После успешного выполнения Reaper начинает сбор конфиденциальных пользовательских данных. SentinelOne сообщила, что вредоносное ПО нацелено на учетные данные браузеров, менеджеры паролей, данные Keychain, криптовалютные кошельки, такие как Meta*Mask и Phantom, приложения для обмена сообщениями и пользовательские документы.
Защита, выходящая за рамки блокировки вставок в Терминал
Полный отказ кампании SHub Reaper от традиционного сценария заражения, ориентированного на Терминал, по-видимому, связан с недавними усилиями Apple по борьбе со злоупотреблением вставкой команд в Терминал.
В macOS Tahoe 26.4 Apple внедрила защиту, которая отображает предупреждения, когда пользователи пытаются вставить потенциально опасные команды в Терминал, напрямую нацеливаясь на методы социальной инженерии, широко используемые в атаках в стиле ClickFix.
«Это не сбой в системе безопасности Apple», — сказал Хоуг-Спирс. «Это исправление Apple работает именно так, как задумано. Исправление повысило стоимость одного метода; поэтому банда переключилась на другой». Apple не сразу ответила на запрос CSO о комментариях.
Исследователи SentinelOne рекомендовали защитникам отслеживать необычную активность Редактора скриптов и проверять, откуда процессы, связанные с «osascript» или AppleScript, порождают неожиданные процессы или инициируют исходящие сетевые соединения. Они также посоветовали организациям следить за подозрительными механизмами сохранения через LaunchAgent, маскирующимися под легитимные компоненты Apple, Google или Microsoft.
Кроме того, Сороко предложил сетевые средства защиты. «Группам безопасности следует внедрить строгую веб-фильтрацию для перехвата доменов с опечатками и отслеживать аномальные вызовы Редактора скриптов macOS, инициируемые непосредственно веб-браузерами», — сказал он.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma