Популярность компьютеров Apple с собственным процессором и компактных Mac mini продолжает расти. Закономерно, что вслед за пользователями в экосистему macOS приходят и злоумышленники. Киберпреступники всё чаще адаптируют свои схемы под владельцев "маков", используя проверенные методы социальной инженерии. Одна из таких атак нацелена на тех, кто ищет пакетный менеджер Homebrew - популярный инструмент для разработчиков. Вместо безопасной установки пользователи получают на своё устройство вредоносное ПО, которое похищает пароли и личные данные.
Описание
В последние дни апреля специалисты по информационной безопасности зафиксировали новую кампанию, построенную на вредоносной рекламе. Злоумышленники разместили в поисковой выдаче платное объявление, которое выдавало себя за официальную страницу Homebrew. Нажав на такую рекламу, пользователь попадал не на сайт разработчиков, а на поддельную страницу, размещённую на домене Google Sites. Эта страница выглядела вполне правдоподобно и содержала инструкцию по установке, но вместо безопасных команд предлагала жертве скопировать и вставить в окно терминала тщательно замаскированный скрипт.
Сама по себе схема не нова: пользователя просят запустить команду, которая автоматически скачивает и исполняет вредоносный файл. Однако в условиях macOS такой подход остаётся действенным, поскольку многие владельцы Mac привыкли доверять командам из терминала, особенно если они выглядят как официальный код из документации. В данном случае скрипт имитировал установочные команды Homebrew, которые обычно начинаются с вызова утилиты /bin/bash -c. Подмена заключалась в том, что скрипт вёл на сервер злоумышленников, а не на оригинальный репозиторий Homebrew.
После того как жертва выполняла скопированную команду, на экране появлялось окно с запросом пароля учётной записи. Система macOS при установке нового программного обеспечения действительно может запрашивать подтверждение прав администратора, поэтому многие пользователи вводят свой пароль, не задумываясь. На самом деле это действие передаёт пароль злоумышленнику. Следом за этим появляется ещё одно окно: терминал запрашивает разрешение на доступ к приложению Finder. Именно этот шаг даёт атакующему возможность считывать системные файлы и пользовательские данные.
После получения всех необходимых прав скрипт запускает вредоносную программу, которую эксперты называют MacSync Stealer. Это стилер - разновидность вредоносного ПО, которое собирает конфиденциальную информацию с заражённого устройства. В частности, похищаются пароли из системной связки ключей (Keychain), данные, сохранённые в браузере, файлы криптовалютных кошельков, история переписки и системные настройки. Весь собранный материал временно упаковывается в архив и сохраняется в папку /tmp/osalogging.zip. Далее этот архив отправляется на сервер управления и контроля, так называемый C2 (командно-контрольный сервер).
Стоит отметить, что злоумышленники использовали сравнительно простую, но эффективную технику маскировки. Архив с украденными данными имел имя, которое не вызывало подозрений у систем мониторинга. Передача данных происходила по стандартным протоколам HTTP. В сетевом трафике это выглядело как обычный запрос на загрузку небольшого файла. Без специального анализа такой трафик не вызывает подозрений. Пользователь, уже введя пароль и разрешив доступ, не замечает фоновой активности стилера, который завершает свою работу и оставляет систему чистой от явных следов присутствия.
На момент подготовки этого материала поддельная страница всё ещё была доступна по адресу, зарегистрированному на домене sites.google.com. Это означает, что атака может продолжаться и новые жертвы всё ещё могут столкнуться с ней. Использование Google Sites для размещения фишинговых страниц - довольно распространённый приём: злоумышленники пользуются доверием к домену крупной корпорации, что помогает обходить фильтры безопасности и антивирусные базы. Кроме того, подобные страницы трудно заблокировать централизованно, так как они не нарушают правила размещения контента до момента запуска вредоносного скрипта.
Для обычного пользователя главная рекомендация остаётся прежней: никогда не вводить пароль учётной записи в окна, которые появляются после выполнения команд из интернета. Система macOS, как и любая другая операционная система, не запрашивает пароль для установки пакетов через терминал случайным образом. Если после простой команды появляется окно аутентификации, это почти верный признак мошенничества. Также стоит внимательно проверять адресную строку перед нажатием на рекламное объявление. Злоумышленники часто используют незначительные искажения в написании доменного имени, которые легко не заметить.
Разработчикам и продвинутым пользователям, которые регулярно пользуются Homebrew, стоит добавить в привычку проверять источник установочной команды. Официальный сайт Homebrew однозначно использует домен brew.sh, и любая другая ссылка, особенно ведущая на поддомен Google Sites, должна вызывать настороженность. Блокировщики рекламы в браузере также могут снизить риск встречи с вредоносным объявлением, хотя полностью исключить его появление они не способны.
Инцидент с MacSync Stealer лишний раз подтверждает тенденцию: киберпреступники активно осваивают экосистему macOS, используя те же приёмы, которые давно работают в мире Windows. Метод вредоносной рекламы, поддельные страницы установщиков и скрипты с запросом пароля - это классическая схема, которая находит новые жертвы благодаря доверчивости. Пользователи Mac, долгое время считавшие свою систему неуязвимой, становятся всё более привлекательной целью. И единственный способ защитить свои данные - это сохранять бдительность и не доверять подозрительным предложениям из сети.
Индикаторы компрометации
Domains
- glowmedaesthetics.com
URLs
- cce=1&sig=AOD64_2EqeARnVjOoYvCwtJyl1AsolQe7g&q&adurl&ved=2ahUKEwjyq-2_v5aUAxU3g2oFHc28JOUQ0Qx6BAhnEAE
- http://glowmedaesthetics.com/curl/63810ee8b478575f3b2c6c46160c1fd338b213c6fc11bb0069dac9bbb7db237d
- https://sites.google.com/view/brewpage?gad_source=1&gad_campaignid=23806351087&gbraid=0AAAAACJ6-Kb3hWjjAWCyYLIj0YO5oQvtp&gclid=EAIaIQobChMItuLyv7-WlAMV2Ut_AB0QBSFgEAMYASAAEgKrq_D_BwE
- https://www.google.com/aclk?sa=L&ai=DChsSEwi24vK_v5aUAxXZS38AHRAFIWAYACICCAIQABoCb2E&co=1&gclid=EAIaIQobChMItuLyv7-WlAMV2Ut_AB0QBSFgEAMYASAAEgKrq_D_BwE&cid=CAASugHkaEZtQvhFJBWvSVo_oMtlq6lKBxptjJBacaXOdzM28vxFNm3V2vrefacF48NMD0YvBIV9PCmn_d6X0uiMYDt5bwJYXaT6Lt7Mf3F-Mc3OK-0ugNt4GfcvQ0lOKkP1Sf8WVDXTMPeVMsHE8qxoG43Ta5BRER_Sre0RfChP39oVqtwRkowlKUUojM12uBAYWvejqokVOa_j7-uGyN1XrQ1ae6Tfaijfc9OvMC9QKQovm7p0DBitWtBJ_d4&
SHA256
- 0d58616c750fc8530a7e90eee18398ddedd08cc0f4908c863ab650673b9819dd
- 86d0c50cab4f394c58976c44d6d7b67a7dfbbb813fbcf622236e183d94fd944f
- a4fcfecc5ac8fa57614b23928a0e9b7aa4f4a3b2b3a8c1772487b46277125571
