Безопасность

Хакеры просят пользователей самим запускать вредоносный код в Терминале из-за сложности обхода Gatekeeper в macOS Sequoia

В следующий раз, может, и вирусы за вас написать нужно будет?

2 мин.
Текст: Дима Кутузов
Хакеры просят пользователей самим запускать вредоносный код в Терминале из-за сложности обхода Gatekeeper в macOS Sequoia

Магазин

Пополнить Apple ID, купить подписки, ключи для игр и ПО

Возможно, впервые с момента выхода macOS Sequoia исследователи в области кибербезопасности обнаружили новый вектор атаки, который позволяет обойтись без обычного метода открытия файла правой кнопкой мыши и применить нечто довольно необычное. В недавнем исследовании, опубликованном в социальных сетях, говорится, что новый метод заключается в том, чтобы обманом заставить пользователя перетащить вредоносный код ( в виде файла .txt) непосредственно в Терминал.

С выходом macOS Sequoia компания Apple предприняла упреждающий шаг, чтобы оградить от выполнения вредоносных программ на своих компьютерах. Пользователи Sequoia больше не могут использовать стандартный способ, чтобы обойти Gatekeeper и открыть программы, не подписанные или не заверенные Apple, без необходимости зайти в «Настройки», затем в «Безопасность и конфиденциальность» перед тем, как запустить программу. Дополнительные шаги призваны проинформировать пользователя о том, что он устанавливает на диск, и, в идеале, заставить его задуматься.

Конечно, это вносит изюминку в деятельность злоумышленников, которые процветают на обмане пользователей, заставляя их кликнуть правой кнопкой мыши и нажать «Открыть», чтобы запустить легитимное приложение, которое, как они думают, они устанавливали.

Сейчас мы видим один из первых примеров того, как злоумышленники меняют свою тактику, чтобы обойти последнее изменение в Gatekeeper на macOS Sequioa. Этот конкретный образец нового похитителя информации проходит под именем Cosmical_setup.

Как это работает:

  1. Злоумышленник передаёт жертве файл образа диска (DMG).
  2. Жертве предлагается открыть приложение «Терминал» и, вместо того чтобы кликнуть правой кнопкой мыши для установки приложения, перетащить файл «.txt» прямо в окно «Терминала».
  3. Безобидный на первый взгляд файл «.txt» на самом деле является вредоносным Bash-скриптом.
  4. После перетаскивания в Терминал он запускает выполнение osascript, который затем запускает команды AppleScript.

Для людей в возрасте такой подход более тривиален, чем простой клик правой кнопкой мыши, поэтому придётся подождать и посмотреть, будут ли злоумышленники придерживаться этого подхода, или же это просто испытание вредоносного продукта.

Ещё по теме:

Мы в Telegram, на Дзен, в Google News и YouTube

БезопасностьХакерыmacOS Sequoia


Дима Кутузов

Дима Кутузов

applespbevent[@]gmail.com | tg: @ncuKC

Прошлый материал

Мошенники в Индии открыли поддельный филиал крупнейшего банка страны
Следующий материал

Microsoft обнаружила в macOS уязвимость, позволяющую обойти контроль конфиденциальности в Safari
Соцсети