Μια νέα απειλή για τους χρήστες macOS: Η εκστρατεία Atomic Stealer
Μια πρόσφατη καμπάνια κακόβουλου λογισμικού επιτίθεται στους χρήστες macOS μέσω της παραποίησης του προγράμματος επεξεργασίας σεναρίων. Αυτή η μέθοδος αποτελεί μια παραλλαγή της επίθεσης ClickFix, όπου οι χρήστες εξαπατούνται να εκτελέσουν επικίνδυνες εντολές στο Terminal.
Τι είναι το Script Editor;
Το Script Editor είναι μια ενσωματωμένη εφαρμογή του macOS που επιτρέπει στους χρήστες να γράφουν και να εκτελούν σενάρια, κυρίως σε γλώσσες όπως το AppleScript και το JXA. Φέρει τη δυνατότητα εκτέλεσης εντολών φλοιού, καθιστώντας την ένα ισχυρό εργαλείο για την αυτοματοποίηση καθημερινών задач.
Η μέθοδος ClickFix και η καμπάνια Atomic Stealer
Ερευνητές ασφαλείας από το Jamf έχουν αναγνωρίσει ότι, σε αντίθεση με προηγούμενες επιθέσεις που απαιτούσαν χειροκίνητη αλληλεπίδραση από τους χρήστες, οι επιτιθέμενοι δεν αναγκάζουν το θύμα να εκτελέσει εντολές στο Terminal. Αντίθετα, χρησιμοποιούν ψεύτικους ιστότοπους φαινομενικά αξιόπιστους που προσφέρουν «οδηγούς» για τη βελτιστοποίηση του αποθηκευτικού χώρου στους υπολογιστές Mac.
Η παραπλάνηση μέσω διαδικτυακών πηγών
Οι ιστότοποι αυτοί περιέχουν οδηγίες που φαίνονται νόμιμες αλλά χρησιμοποιούν τη διεύθυνση URL applescript:// για να ξεκινήσουν το Script Editor με προκαθορισμένο κακόβουλο κώδικα.
Πηγή: Jamf
Η διαδικασία εκτέλεσης του κακόβουλου λογισμικού
Ο κακόβουλος κώδικας χρησιμοποιεί την εντολή curl | zsh, η οποία κατεβάζει και εκτελεί ένα σενάριο απευθείας στη μνήμη του υπολογιστή. Αυτό το σενάριο αποκωδικοποιεί ένα φορτίο σε μορφή base64 + gzip, κατεβάζει μια δυαδική αρχείο (/tmp/helper), αφαιρεί τα χαρακτηριστικά ασφαλείας μέσω της εντολής xattr -c, καθιστώντας το εκτελέσιμο, και το εκτελεί.
Το τελικό ωφέλιμο φορτίο είναι γνωστό ως Atomic Stealer (AMOS), ένα κακόβουλο λογισμικό που στοχεύει ευαίσθητα δεδομένα όπως:
- Πληροφορίες αποθηκευμένες στις επεκτάσεις πορτοφολιού Keychain
- Δεδομένα αυτόματης συμπλήρωσης προγράμματος περιήγησης
- Κωδικοί πρόσβασης και cookies
- Αποθηκευμένες πιστωτικές κάρτες και πληροφορίες συστήματος
Προστασία και συμβουλές για τους χρήστες Mac
Οι χρήστες των υπολογιστών Mac καλούνται να παραμείνουν προσεκτικοί και να αντιμετωπίζουν τις προτροπές του Script Editor ως ενδείξεις υψηλού κινδύνου. Είναι κρίσιμο να αποφεύγουν τη εκτέλεση εντολών, εκτός αν κατανοούν πλήρως τη διαδικασία και εμπιστεύονται την πηγή.
Πηγές ασφαλούς πληροφόρησης
Για την αντιμετώπιση προβλημάτων macOS, οι χρήστες θα πρέπει να βασίζονται αποκλειστικά στην επίσημη τεκμηρίωση της Apple. Ο Apple Support παρέχει πλήθος πληροφοριών και χρήσιμων οδηγιών.
Επιπλέον, οι Apple Support Communities αποτελούν μια πλατφόρμα όπου οι χρήστες μπορούν να ανταλλάσσουν πληροφορίες και συμβουλές, αν και η συμμετοχή απαιτεί προσοχή καθώς οι συζητήσεις δεν είναι πάντα ασφαλείς.