
Рубрика Apple @ Work выходит при эксклюзивной поддержке Mosyle, единственной унифицированной платформы для Apple. Mosyle — это единственное решение, которое объединяет в рамках одной профессиональной платформы все инструменты, необходимые для беспрепятственного и автоматизированного развертывания, управления и защиты устройств Apple на рабочем месте. Более 45 000 организаций доверяют Mosyle, подготавливая миллионы устройств Apple к работе без лишних усилий и по доступной цене. Запросите РАСШИРЕННУЮ ПРОБНУЮ ВЕРСИЮ уже сегодня и узнайте, почему Mosyle — это всё, что нужно для работы с Apple.
Хотя macOS изначально защищена на уровне архитектуры, хакеры и мошенники всё чаще полагаются на социальную инженерию, чтобы обойти встроенные механизмы защиты. Новый отчет, опубликованный Netskope Threat Labs, подробно описывает новую и весьма изощренную кампанию macOS ClickFix. Эта атака обманом заставляет пользователей запустить похититель данных на базе AppleScript и устойчивый троян удаленного доступа.
Об авторе Apple @ Work: Брэдли Чамберс работает ИТ-администратором Apple с 2009 года. Опираясь на свой опыт развертывания и управления межсетевыми экранами, коммутаторами, системами управления мобильными устройствами (MDM), корпоративным Wi-Fi, тысячами компьютеров Mac и планшетов iPad, Брэдли рассказывает о методах, которые используют ИТ-менеджеры Apple для внедрения устройств, построения поддерживающих их сетей, обучения пользователей, а также делится историями из «окопов» ИТ-управления и размышлениями о том, как Apple может улучшить свои продукты для корпоративного сектора.

Бесфайловая цепочка заражения
Новая кампания macOS ClickFix опирается на классическую схему социальной инженерии. Пользователей перенаправляют на скомпрометированные или контролируемые злоумышленниками веб-сайты, которые имитируют легитимные сервисы (вот почему такие службы, как BrandShield, становятся необходимыми). Специалисты Netskope обнаружили поддельные страницы утилит для оптимизации macOS, фейковые репозитории GitHub и даже локализованные страницы ИТ-поддержки. Эти сайты инструктируют конечных пользователей вручную скопировать и вставить определенную команду в Терминал macOS.

Когда жертва нажимает кнопку копирования на поддельном сайте, вредоносный JavaScript незаметно помещает строку выполнения в буфер обмена. Выполнение этой команды в Терминале загружает скрипт, который исполняется исключительно в оперативной памяти. Такой бесфайловый подход не оставляет следов на локальном диске, позволяя первичному загрузчику легко уклоняться от стандартных антивирусных сканирований.
После запуска вторичной полезной нагрузки на экране появляется поддельное диалоговое окно «Системных настроек» Mac, запрашивающее пароль пользователя для применения настроек. Если пользователь вводит пароль, вредоносное ПО использует его для разблокировки связки ключей macOS и начинает извлекать сохраненные пароли, файлы cookie сессий и данные из мессенджеров.
Более того, еще более опасным поведением является работа программы с десктопными криптокошельками. Вредонос атакует 25 различных кошельков. Он принудительно завершает работу легитимного приложения, перезаписывает основной пакет приложения троянизированной версией и принудительно применяет специальную цифровую подпись (ad hoc). Это восстанавливает структурно валидную подпись, позволяя модифицированному приложению запускаться, не вызывая предупреждений Gatekeeper в macOS. Если у вас есть значительные криптоактивы, пожалуйста, не используйте кошельки с одной подписью (single-sig) по причинам, подобным этой.
Для обеспечения долгосрочного доступа полезная нагрузка устанавливает фоновый конфигурационный файл, замаскированный под системный процесс учетной записи Apple под названием com.apple.accountsd. Этот процесс опрашивает командный сервер каждую минуту. Это позволяет злоумышленнику поддерживать постоянный канал связи и удаленно выполнять произвольный код на зараженном Mac в любое время.
Мнение 9to5Mac
Эта кампания — идеальная иллюстрация того, насколько далеко может зайти чисто скриптовая полезная нагрузка для macOS. Злоумышленники не используют уязвимости нулевого дня или сложные эксплойты ядра. Они просто используют встроенный инструментарий macOS против самого пользователя.
Для ИТ-отделов это подчеркивает критическую необходимость постоянного обучения вопросам безопасности. Пользователям необходимо внушить: никогда не вставлять неизвестные команды в Терминал, как бы правдоподобно ни выглядел веб-сайт. Можно поспорить, что блокировка доступа к Терминалу на корпоративных компьютерах Mac скоро станет стандартом для многих должностей.
Рубрика Apple @ Work выходит при эксклюзивной поддержке Mosyle, единственной унифицированной платформы для Apple. Mosyle — это единственное решение, которое объединяет в рамках одной профессиональной платформы все инструменты, необходимые для беспрепятственного и автоматизированного развертывания, управления и защиты устройств Apple на рабочем месте. Более 45 000 организаций доверяют Mosyle, подготавливая миллионы устройств Apple к работе без лишних усилий и по доступной цене. Запросите РАСШИРЕННУЮ ПРОБНУЮ ВЕРСИЮ уже сегодня и узнайте, почему Mosyle — это всё, что нужно для работы с Apple.