AppleScript: Вградената защита на macOS се превърна в инструмент за хакерство
Атаките против консуматори на macOS набират скорост, като откривателите оповестяват за увеличение на интензивността на зловредния програмен продукт (инфостийлър), който може да краде пароли, финансови данни и друга сензитивна информация.
Сред най-често срещаните закани през предходната година са три типа злотворен програмен продукт: Atomic Stealer (AMOS), Poseidon Stealer и Cthulhu Stealer. Те са фокусирани върху събирането на данни от браузъри, портфейли за криптовалути и мениджъри на пароли, като съставлява опасност за бизнеса и частните консуматори.
През последните 2 тримесечия Palo Alto Networks следи 101% нарастване на броя на офанзивите. Инфостийлърите са се трансформирали в най-голямата група нов злотворен програмен продукт за macOS през 2024 година.
Една от аргументите за този растеж е дейното потребление на AppleScript – вграден механизъм в macOS, който разрешава на киберпрестъпниците да основават зловредни скриптове, маскирани като систематични поръчки.
Atomic Stealer (AMOS) се появява за първи път през 2023 година и се популяризира посредством модела „ злотворен програмен продукт като услуга “ (MaaS). Авторите продават софтуера във конгреси и Telegram, а самите офанзиви най-често се реализират посредством malvertising – реклама на злотворен програмен продукт, маскиран като законни приложения. AMOS краде записи от браузъри, портфейли с криптовалути и данни от месинджъри.
Poseidon Stealer е рекламиран от псевдонима Rodrigo4, който преди този момент е бил обвързван с AMOS. Зловредният програмен продукт се популяризира посредством троянски инсталатори на известен програмен продукт. След като бъде стартирано, приложението желае систематична ключова дума и по-късно събира данни от устройството, в това число пароли от мениджърите BitWarden и KeePassXC. По-късно Poseidon Stealer изпраща откраднатата информация на сървърите на нападателите.
Cthulhu Stealer работи на сходен принцип, само че основателите му интензивно разпространяват зловредния програмен продукт посредством Telegram. Крадецът се маскира като стратегия за разчистване на macOS, само че когато бъде конфигуриран, желае пароли за систематичните и MetaMask портфейли. Зловредният програмен продукт краде данни от браузъри, портфейли за криптовалути, файлови складове и даже от играта Minecraft, като качва събраната информация на сървъра на нападателите.
Въпреки, че macOS обичайно се смята за по-сигурна операционна система от Windows, нападателите интензивно употребяват AppleScript, който им разрешава да извършват команди в системата без спомагателни привилегии.
Този инструмент улеснява стартирането на злотворен код посредством основаване на подправени систематични разговори, посредством които нападателите желаят от жертвата ключова дума или я принуждават да деактивира механизмите за сигурност.
Анализът на кода демонстрира, че и трите стратегии за кражба на информация са способни освен да крадат данни, само че и да приготвят почвата за други офанзиви, в това число за разпространяване на програмен продукт за откуп. За да понижат рисковете, потребителите на macOS би трябвало да заобикалят изтеглянето на програмен продукт от непроверени източници, да лимитират осъществяването на AppleScript и да употребяват настоящи системи за разкриване на закани.
