Возможно, впервые с момента выхода macOS Sequoia исследователи в области кибербезопасности обнаружили новый вектор атаки, который позволяет обойтись без обычного метода открытия файла правой кнопкой мыши и применить нечто довольно необычное. В недавнем исследовании, опубликованном в социальных сетях, говорится, что новый метод заключается в том, чтобы обманом заставить пользователя перетащить вредоносный код ( в виде файла .txt) непосредственно в Терминал.

С выходом macOS Sequoia компания Apple предприняла упреждающий шаг, чтобы оградить от выполнения вредоносных программ на своих компьютерах. Пользователи Sequoia больше не могут использовать стандартный способ, чтобы обойти Gatekeeper и открыть программы, не подписанные или не заверенные Apple, без необходимости зайти в «Настройки», затем в «Безопасность и конфиденциальность» перед тем, как запустить программу. Дополнительные шаги призваны проинформировать пользователя о том, что он устанавливает на диск, и, в идеале, заставить его задуматься.

Конечно, это вносит изюминку в деятельность злоумышленников, которые процветают на обмане пользователей, заставляя их кликнуть правой кнопкой мыши и нажать «Открыть», чтобы запустить легитимное приложение, которое, как они думают, они устанавливали.

Сейчас мы видим один из первых примеров того, как злоумышленники меняют свою тактику, чтобы обойти последнее изменение в Gatekeeper на macOS Sequioa. Этот конкретный образец нового похитителя информации проходит под именем Cosmical_setup.

Как это работает:

  1. Злоумышленник передаёт жертве файл образа диска (DMG).
  2. Жертве предлагается открыть приложение «Терминал» и, вместо того чтобы кликнуть правой кнопкой мыши для установки приложения, перетащить файл «.txt» прямо в окно «Терминала».
  3. Безобидный на первый взгляд файл «.txt» на самом деле является вредоносным Bash-скриптом.
  4. После перетаскивания в Терминал он запускает выполнение osascript, который затем запускает команды AppleScript.

Для людей в возрасте такой подход более тривиален, чем простой клик правой кнопкой мыши, поэтому придётся подождать и посмотреть, будут ли злоумышленники придерживаться этого подхода, или же это просто испытание вредоносного продукта.


Ещё по теме: