Новая кампания по распространению вредоносного ПО Atomic Stealer среди пользователей macOS использует редактор сценариев (Script Editor) в варианте атаки ClickFix, которая обманом заставляла пользователей выполнять команды в Терминале.
Script Editor — это встроенное приложение macOS для написания и запуска сценариев, в основном AppleScript и JXA, которое может выполнять локальные сценарии и команды оболочки. Это доверенное приложение, предустановленное в системах macOS.
Хотя это не первый случай его злонамеренного использования для доставки вредоносного ПО, исследователи отмечают, что в контексте техники социальной инженерии ClickFix это не требует от жертвы ручного взаимодействия с Терминалом и выполнения команд.
Помимо широко освещавшегося варианта, нацеленного на Терминал, в macOS Tahoe 26.4 была добавлена защита от атак ClickFix в виде предупреждения при попытке выполнения команд.
В новой кампании по распространению Atomic Stealer, замеченной исследователями безопасности из Jamf, хакеры нацеливаются на жертв с помощью поддельных сайтов в стиле Apple, которые выдают себя за руководства по освобождению дискового пространства на их компьютерах Mac.
Эти страницы содержат выглядящие легитимными инструкции по очистке системы, но используют схему URL-адресов applescript:// для запуска Script Editor с уже заполненным исполняемым кодом.
Вредоносный код запускает обфусцированную команду ‘curl | zsh’, которая загружает и выполняет сценарий непосредственно в памяти системы.
Это декодирует полезную нагрузку Base64 + gzip, загружает бинарный файл (/tmp/helper), удаляет атрибуты безопасности с помощью ‘xattr -c’, делает его исполняемым и запускает.
Конечной полезной нагрузкой является бинарный файл Mach-O, идентифицированный как Atomic Stealer (AMOS) — распространенное вредоносное ПО как услуга (malware-as-a-service), которое активно развертывалось в кампаниях ClickFix с использованием различных приманок в течение последнего года.
Вредоносное ПО нацелено на широкий спектр конфиденциальных данных, включая информацию, хранящуюся в Keychain, на рабочем столе и в расширениях криптокошельков браузера, данные автозаполнения браузера, пароли, сохраненные кредитные карты и системную информацию.
В прошлом году AMOS также добавил компонент бэкдора для обеспечения постоянного доступа операторов к скомпрометированным системам.
Пользователям Mac следует относиться к запросам Script Editor как к высокорисковым и избегать их запуска на своих устройствах, если они не понимают полностью, что они делают, и не доверяют источнику.
Для руководств по устранению неполадок macOS рекомендуется полагаться только на официальную документацию Apple.
Сообщества поддержки Apple (Apple Support Communities) — это форум, где пользователи Apple могут помогать друг другу советами, хотя это и не может быть полностью безопасно.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
