Severnokorejska kampanja preko lažnog Zoom ažuriranja cilja macOS korisnike
Computer Weekly prenosi nalaze Microsoft Threat Intelligence tima o kampanji grupe Sapphire Sleet, koja kroz društveni inženjering navodi macOS korisnike da ručno pokrenu zlonamerne fajlove predstavljene kao Zoom SDK ažuriranje. Napad počinje lažnim kontaktima za posao na profesionalnim mrežama, a završava se pokretanjem AppleScript fajla koji preuzima dodatni payload i otvara put za krađu podataka. Među ukradenim podacima nalaze se akreditivi, podaci iz browsera, Keychain sadržaj, Apple Notes, Telegram sesije i podaci iz kripto novčanika.
Najveći rizik ovde nije samo malware, već činjenica da napad zaobilazi deo zaštite tako što žrtva sama pokreće ono što izgleda kao legitimno ažuriranje. Kada se ovakav pristup usmeri na ljude iz finansija, kripta i blockchain sveta, posledica nije samo kompromitovan računar, već i direktan put do novca, naloga i poverljivih podataka.
- Upozoriti korisnike da ne pokreću ručno fajlove i skripte poslate kroz navodne intervjue, pozive ili poslovne kontakte
- Ograničiti ili nadzirati izvršavanje compiled AppleScript fajlova i unsigned Mach-O binarnih fajlova preuzetih sa interneta
- Pratiti upotrebu curl komandi, posebno kada se izlaz prosleđuje drugim interpreterima ili skriptama
- Proveravati izmene u macOS TCC bazi, LaunchDaemon i LaunchAgent mehanizmima
- Rotirati browser akreditive i dodatno zaštititi kripto novčanike ako postoji sumnja na kompromitaciju