Новая атака на macOS обходит защиту Terminal, используя Script Editor для кражи данных

Специалисты Jamf Threat Labs обнаружили новую кампанию, вдохновлённую классической техникой социальной инженерии ClickFix. Суть её заключается в том, чтобы убедить пользователя выполнить вредоносную команду под видом легитимного действия, например, очистки диска или обновления системы. Однако если раньше основной вектор атаки заставлял жертву вставлять команды напрямую в терминал, то теперь злоумышленники используют более скрытный подход. Они задействуют специальную схему URL "applescript://", которая запускает приложение Script Editor прямо из веб-браузера, минуя необходимость взаимодействия с терминалом.

Этот сдвиг стал закономерной реакцией на ужесточение безопасности в macOS. В версии 26.4 Apple внедрила функцию сканирования команд, вставляемых в терминал, что создало серьёзное препятствие для старых методов атаки. Однако, как показывает практика, когда один путь блокируется, злоумышленники оперативно находят обходной манёвр. Использование Script Editor в данном контексте не является абсолютно новым приёмом - этот инструмент имеет долгую историю эксплуатации для доставки вредоносного ПО. Новаторство же заключается в его интеграции в схему ClickFix и в способе вызова через URL из браузера, что делает атаку более плавной и менее подозрительной для конечного пользователя.

Механика атаки начинается с фишинговой веб-страницы, стилизованной под официальный ресурс Apple. Страница, например, может предлагать помощь в "освобождении места на диске Mac", представляя пошаговые инструкции, внешне неотличимые от рекомендаций самой компании. Когда пользователь следует инструкциям и нажимает кнопку "Выполнить" (Execute), браузер, обрабатывая скрытую ссылку со схемой "applescript://", запрашивает разрешение на открытие приложения Script Editor. После подтверждения этого действия открывается окно редактора с уже готовым, предзаполненным скриптом, который остаётся лишь запустить. Таким образом, пользователь, думая, что выполняет системную утилиту, фактически инициирует цепочку загрузки вредоносного кода.

Ключевой элемент этой схемы - использование URL-схемы "applescript://", которая является штатным механизмом macOS для взаимодействия с приложением Script Editor. Это позволяет злоумышленникам легитимным с точки зрения системы способом запустить редактор и передать ему содержимое скрипта. Внутри самого скрипта содержится сильно зашифрованная команда. Она использует утилиту "tr" для преобразования набора случайных символов в действительный URL в момент выполнения. После декодирования команда загружает с удалённого сервера следующую стадию полезной нагрузки с помощью "curl", игнорируя проверку TLS-сертификатов благодаря флагу "-k", и немедленно исполняет загруженное содержимое, передавая его интерпретатору "zsh".

Эта вторая стадия, также зашифрованная с помощью base64 и сжатия gzip, представляет собой скрипт, который загружает исполняемый Mach-O-файл (бинарник) в директорию "/tmp". Исследователи идентифицировали этот файл как новейший вариант Atomic Stealer - известной программы-похитителя информации, которая крадет пароли, файлы ключей, данные криптокошельков и cookies из браузеров. Перед запуском скрипт снимает с бинарника расширенные атрибуты ("xattr -c"), которые могут содержать метаданные о происхождении файла, и устанавливает права на выполнение. Такой многостадийный подход позволяет сохранить начальную команду компактной и зашифрованной, доставляя основной вредоносный модуль уже на следующем шаге, что усложняет статический анализ.

Поведение системы может незначительно различаться в зависимости от версии macOS. На последних выпусках, таких как Tahoe, после открытия скрипта в Script Editor может появиться дополнительное предупреждение о том, что документ создан неопознанным разработчиком, и система запросит подтверждение на его сохранение перед выполнением. Это создаёт дополнительный рубеж защиты, однако для многих пользователей, уже вовлечённых в процесс "очистки системы", это предупреждение может не стать серьёзным препятствием. Данная кампания наглядно демонстрирует, как техники социальной инженерии адаптируются под изменения в защите, сохраняя свою суть, но меняя точку входа. Перенос исполнения из терминала в Script Editor позволяет атакующим сохранить привычный для жертвы сценарий, при этом кардинально изменив техническую реализацию атаки под капотом.

Это классическая иллюстрация динамики "кошки и мыши", определяющей противостояние в сфере информационной безопасности. Внедрение нового защитного контроля немедленно стимулирует поиск альтернативных векторов атаки. Для специалистов по защите данный инцидент служит напоминанием о необходимости комплексного мониторинга не только явно опасных действий в терминале, но и подозрительной активности, связанной с другими системными утилитами, способными выполнять скрипты. Пользователям же стоит проявлять крайнюю осторожность при выполнении любых скриптов, скачанных из интернета, даже если они представлены в виде удобных кнопок на внешне правдоподобных сайтах, и всегда проверять источник подобных рекомендаций.

Domains

• dryvecar.com

URLs

• https://cleanupmac.mssg.me/?gad_source=1&gad_campaignid=23708793071&gbraid=0AAAABBS8jKrbkIiVdpqodGRoYiYNaByHP&gclid=EAIaIQobChMI2uaJ-_TJkwMVpqJQBh1N6yRoEAAYBCAAEgLXrfD_BwE
• https://storage-fixes.squarespace.com/?gad_source=1

SHA256

• 3d3c91ee762668c85b74859e4d09a2adfd34841694493b82659fda77fe0c2c44