| 17 октября 2024 г. — 2:17 вечера по тихоокеанскому времени
9to5Mac Security Bite эксклюзивно при поддержке Mosyle, единственной унифицированной платформы Apple. Мы занимаемся тем, чтобы устройства Apple были готовы к работе и безопасны для бизнеса. Наш уникальный интегрированный подход к управлению и безопасности сочетает в себе передовые решения для безопасности, специфичные для Apple, для полностью автоматизированного укрепления и соответствия требованиям, EDR следующего поколения, основанный на ИИ нулевой доверия, и эксклюзивное управление привилегиями с самым мощным и современным MDM для Apple на рынке. Результатом является полностью автоматизированная унифицированная платформа Apple, которой доверяют более 45 000 организаций для беспрепятственной и доступной подготовки миллионов устройств Apple к работе. Запросите свой РАСШИРЕННЫЙ ПРОБНЫЙ ПЕРИОД сегодня и поймите, почему Mosyle — это все, что вам нужно для работы с Apple.
Возможно, впервые с момента выпуска macOS Sequoia исследователи кибербезопасности выявили новый вектор атаки, который обходит обычную команду «щелкни правой кнопкой мыши, открыть», отдавая предпочтение чему-то довольно необычному. В недавнем отчете, опубликованном в социальных сетях, этот новый метод включает обман пользователей с целью перетаскивания вредоносного кода (через файл .txt) непосредственно в Терминал.
С выпуском macOS Sequoia Apple предприняла проактивный шаг, чтобы помочь обычным пользователям не запускать вредоносное ПО на своих Mac. Пользователи Sequoia больше не могут нажимать правой кнопкой мыши, чтобы обойти Gatekeeper и открыть программы, не подписанные или не прошедшие нотаризацию Apple, без необходимости заходить в «Настройки», затем «Конфиденциальность», чтобы «проверить информацию о безопасности», прежде чем иметь возможность запустить программу. Дополнительные шаги пытаются информировать пользователя о том, что он монтирует на диск, и, в идеале, заставить его задуматься.
Конечно, это создает проблемы для злоумышленников (киберпреступников), которые действуют, обманывая пользователей, заставляя их щелкать правой кнопкой мыши и нажимать «Открыть», чтобы использовать любое легитимное приложение, которое, по их мнению, они установили. Я предполагаю, что чем больше пользователей продолжают использовать Sequoia, тем меньше выполняется вредоносных программ на компьютерах, и, следовательно, тем меньше денег они зарабатывают на опустошении криптокошельков на Mac и так далее.
Теперь мы видим один из первых случаев, когда киберпреступники развивают свою тактику для обхода последних изменений Gatekeeper в macOS Sequoia. Этот конкретный образец нового инфостилера проходит под названием Cosmical_setup и отслеживается как связанный с Amos.
Вот как это работает:
- Злоумышленник доставляет жертве файл образа диска (DMG).
- Жертве предлагается открыть приложение «Терминал» и вместо того, чтобы нажимать правой кнопкой мыши для установки, ее просят перетащить файл «.txt» непосредственно в окно Терминала.
- Кажущийся безобидным файл «.txt» на самом деле является вредоносным Bash-скриптом. После перетаскивания в Терминал он запускает выполнение osascript, который затем выполняет команды AppleScript.
Этот подход намного проще для таких людей, как мои бабушка и дедушка, чем простое нажатие правой кнопкой мыши. Нам придется подождать и посмотреть, будут ли злоумышленники придерживаться этого или это просто тестирование одного вредоносного продукта. В целом, я использую своих бабушку и дедушку в качестве масштаба для большинства вещей, связанных с вредоносным ПО, и это не проходит. Отличная работа, Apple.