Киберпреступники активно развивают методы социальной инженерии, стремясь обойти традиционные средства защиты. Эксперты Netskope Threat Labs продолжают отслеживать кампанию под названием ClickFix, которая теперь демонстрирует чёткую кросс-платформенную направленность. Если ранее фокус был на пользователях Windows, то сейчас исследователи детально изучили параллельную цепочку заражения, нацеленную на владельцев компьютеров Apple. Новая вредоносная программа для macOS представляет собой информационного вора, способного похищать критически важные данные, включая пароли из связки ключей и, что наиболее опасно, активные сессионные файлы cookie, позволяющие злоумышленникам обходить двухфакторную аутентификацию (2FA).
Описание
Атака начинается с единой точки входа - веб-страницы, где происходит фильтрация жертв по пользовательскому агенту. Мобильные устройства игнорируются, а пользователи настольных систем перенаправляются на поддельную страницу проверки CAPTCHA. На этом этапе скрипт определяет операционную систему. При обнаружении macOS жертве предлагается вручную скопировать и выполнить в терминале команду, замаскированную под необходимое обновление или часть проверки. Этот метод, известный как ClickFix, перекладывает бремя запуска вредоносного кода на самого пользователя, что часто позволяет обходить предупреждения безопасности. После выполнения команды в фоновом режиме загружается и запускается основной скрипт на AppleScript, который создаёт временную рабочую директорию для последующего сбора данных.
Ключевым и наиболее изощрённым элементом атаки является этап сбора учётных данных. Чтобы получить пароль пользователя для расшифровки связки ключей, вредоносная программа отображает на экране неотключаемое диалоговое окно, которое практически неотличимо от легитимных запросов системы macOS. Оно использует стандартные системные иконки, загружаемые локально, для максимального правдоподобия. Окно лишено кнопки закрытия и помещено в бесконечный цикл: если введённый пароль неверен, диалог немедленно появляется снова. Для проверки пароля в реальном времени скрипт использует встроенную службу каталогов macOS, что делает процесс идентичным стандартной процедуре аутентификации. Как сообщают исследователи, этот метод эффективно вынуждает пользователя ввести свои учётные данные, без которых дальнейшая работа за компьютером становится невозможной.
Получив пароль, зловред приступает к масштабному сбору информации. Основной целью является связка ключей (Keychain) - центральное хранилище паролей, ключей и безопасных заметок в macOS. Файл базы данных зашифрован, но мастер-ключ для его расшифровки защищён паролем учётной записи пользователя, который уже перехвачен. Однако главную опасность представляют не сохранённые пароли, а активные сессионные cookie. Вредоносная программа целенаправленно извлекает их из 12 различных браузеров на базе Chromium и Firefox, включая Chrome, Edge, Brave, Opera и Firefox. Похитив такие cookie, злоумышленники могут подменить активную сессию пользователя на сайтах, получив полный доступ к аккаунтам даже при включённой двухфакторной аутентификации. Это открывает прямой путь к корпоративным сервисам, облачным хранилищам и финансовым приложениям.
Кроме того, вор данных охотится за информацией из более чем 200 расширений для браузеров. В целевой список входят криптовалютные кошельки (MetaMask, Phantom), менеджеры паролей (LastPass, 1Password), приложения для двухфакторной аутентификации и корпоративные инструменты, такие как расширения для VPN. Скрипт копирует локальные хранилища и базы данных расширений, где часто в незашифрованном виде содержатся сид-фразы, приватные ключи и учётные данные. Отдельно атака нацелена на 16 автономных настольных приложений криптовалютных кошельков, включая Exodus, Electrum и Ledger Live, путём копирования целых директорий с конфигурационными файлами.
Собранные данные архивируются и отправляются на управляющий сервер злоумышленников по HTTP, после чего следы деятельности скрипта тщательно зачищаются с диска. Успех этой кампании ярко демонстрирует, что социальная инженерия остаётся одним из самых эффективных векторов атак, нивелируя даже сложные технические средства защиты вроде 2FA. В ответ на растущую угрозу подобных сценариев, где пользователя обманом заставляют вставить вредоносную команду в терминал, компания Apple ввела в последних версиях macOS Tahoe и Sequoia нативное системное предупреждение. Оно призвано прервать атаку ClickFix, уведомляя пользователя о потенциальной опасности вставки команд из ненадёжных источников. Для специалистов по безопасности этот инцидент служит напоминанием о необходимости постоянного обучения пользователей и важности своевременного обновления программного обеспечения для всех платформ.
Индикаторы компрометации
IPv4
- 172.94.9.250
URLs
- http://172.94.9.250/d/xxx10108
- https://bull-run.fun/
- https://spot-wave.fun/
SHA256
- 77b1beb083e4e2074402742ef2d677835072acf0e7ddd9ee8206e5a2c76b1ca5
- c07a15640065580e3bbff86eb567050e1a9e9847e2034ff00953ce7eeb2eec41
