Novi ClickFix napad na macOS koristi Script Editor za tišu isporuku Atomic Stealer-a
CSO Online prenosi nalaze Jamf Threat Labs o novoj varijanti ClickFix kampanje na macOS-u, u kojoj napadači više ne traže od žrtve da lepi komande u Terminal. Umesto toga, korisnik jednim klikom aktivira applescript:// URL koji otvara Script Editor sa unapred popunjenim zlonamernim kodom, a zatim se preuzima i pokreće Atomic Stealer. Time se uklanja jedan od najuočljivijih koraka prethodnih kampanja i zaobilazi deo zaštite koju je Apple uveo za lepljenje komandi u Terminal.
Pojašnjenje
Najveći problem ovde je uklanjanje korisničkog oklevanja iz lanca infekcije. Kada napad više ne traži ručno lepljenje komande u Terminal, ceo tok deluje manje sumnjivo neiskusnom korisniku, a razlika između običnog klika i kompromitacije postaje još tanja.
Preporuke
- Upozoriti korisnike da ne otvaraju Apple-themed stranice koje traže pokretanje Script Editor-a ili drugih sistemskih alata
- Pratiti pozive ka applescript:// šemi i neočekivano otvaranje Script Editor aplikacije
- Ograničiti izvršavanje neproverenih AppleScript i shell sadržaja na korisničkim Mac uređajima
- Pojačati detekciju za Atomic Stealer i slične infostealer kampanje koje ciljaju browser podatke i kripto novčanike
- Redovno ažurirati macOS i bezbednosne alate, ali ne računati da će ugrađene zaštite same zaustaviti nove varijante socijalnog inženjeringa