Злоумышленники используют AppleScript для обхода Gatekeeper в macOS

Исторически эта техника применялась в ходе целевых атак APT на macOS, но теперь её начали использовать и авторы коммерческого вредоносного ПО, такие как MacSync Stealer и Odyssey Stealer. Это свидетельствует о просачивании методов APT в массовый сегмент киберпреступности.

Новые векторы атак

Основной вектор предполагает создание поддельных документов и обновлений. Например, злоумышленники создают файлы с двойными расширениями вроде «AM Management_Strategic OTC Collaboration Proposal.docx.scpt», которые выглядят как обычные документы Word. При этом файлы имеют кастомные иконки, что повышает их убедительность.

Аналогичным образом распространяются поддельные обновления для популярных приложений. В дикой природе обнаружены образцы с названиями вроде «MSTeamsUpdate.scpt», «Zoom SDK Update.scpt» и «Microsoft.TeamsSDK.scpt». Все они используют схожие методы социальной инженерии.

Механизм обхода защит

По умолчанию файлы .scpt открываются в Script Editor.app при двойном клике. Однако злоумышленники маскируют вредоносный код за большим количеством пустых строк, оставляя видимыми лишь комментарии, которые побуждают пользователя нажать кнопку запуска. Критически важно, что исполнение скрипта происходит даже при его карантине Gatekeeper, если пользователь самостоятельно нажимает кнопку Run или использует комбинацию ⌘ + R.

Эволюция техник

Исследователи отмечают, что некоторые образцы используют обфускацию кода, аналогичную методам, ранее наблюдавшимся в PowerShell-скриптах. Например, скрипт «888.scpt» реконструирует URL из множества строковых переменных, что затрудняет статический анализ.

Более того, злоумышленники начали комбинировать .scpt-файлы с традиционными DMG-образами. Поскольку DMG сохраняют кастомные иконки файлов, это делает атаку ещё более убедительной для жертвы.

Рекомендации по защите

Эксперты предлагают несколько способов противодействия данной угрозе. Во-первых, можно изменить приложение по умолчанию для файлов .scpt, .applescript и .scptd, например назначив их открытие в TextEdit. Однако это не всегда эффективно, поскольку скомпилированные скрипты не отображаются в текстовом редакторе корректно.

Для обнаружения подозрительной активности следует мониторить запуски скриптов из Script Editor, особенно те, что инициируют сетевое соединение. Также рекомендуется отслеживать файловые события с двойными расширениями вроде .docx.scpt и .pptx.scpt.

Данная тенденция демонстрирует необходимость постоянного обучения пользователей основам кибергигиены. Технические средства защиты должны дополняться повышением осведомлённости о современных методах социальной инженерии.

IPv4

• 114.66.50.134
• 124.132.136.17
• 185.93.89.62
• 192.140.161.143

Domains

• aubr.io
• customizetion.com
• dosmac.top
• elbrone.com
• endesway.life
• foldgalaxy.com
• forestnumb.top
• globalnetman.xyz
• support.ms-live.com
• uk04webzoom.us
• uk06webzoom.us

SHA256

• 03458265a47dd655c7c6eccff7c273618f768f52ecf11db7fd67c857b1eca0cd
• 14aba88b5f87ab9415bbca855d24abc3f151b819302930897e71e2626e823271
• 24ba8e79bd22ece03fc7cd0b00822a38ecec146dc5c70404476110a4028c9caf
• 2e2cedbf1f09208ee7dad6ac5dec96e97bc0c41a31e190bc41e14f2929c05d4c
• 2f99de308882fb9a6686913c4f6cc6654e75eb861d39a9ce33ae23c2d11271ec
• 43e2681212b6324c6087d78e8c30313e199d42e4554e616c6880ed4c4f6bf088
• 580f6dd3f4cb78f80167a3d980bab3590dca877d78bb4e17360dc50fdbef7692
• 6149bacfb02eb3db6f95947bc57d89bfb92b90f16f92a61266ea6fbec81d10b7
• 6a95ab1e7a94fb55a1789f5dfb0fb98237ac72d14ae89ac557101a6176826610
• 7f69f3012e134d1f5084fbb9086697da66a9b0e9240c4e1413777b9e1099aca9
• 8e897a1e0c3092a7a8f8c3946da6ef23f013dd7633bdea185d15f6ea9c902ef0
• 99cfb160a2453a22cc025fe0afc21d660744205eff2885836d8e543fda50f06d
• 9f3a2876f29b336f4372e3c0be26cecaa2966bc5ef5bf2403cb6354ddb87691a
• a7c7d75c33aa809c231f1b22521ae680248986c980b45aa0881e19c19b7b1892
• b489039b502afd8b8267853c4d2cf65f75b76aa1f128f13d332f7d26ffcbd114
• b9c35bccb5ee635269780983265c40169e7c268f73f6e38651cc8efcaf13ed41
• e41efd9eeb08571b4322433df84f81d660ce2fc1ba24134ff14a58a06cd2436b
• f5b4fec2263950ca5cfac9f9d060bb96f6323fcb908b09eedb7996c107bdcf5a
• f9f9ac24381acad8957724b6aacb0a7fe83d9359c6b7ceded10b2c8e2f4a729b
• fbea68ff0dc10f85e859ad09c02c1fea4b85d58e80d8a68af7e93f4a1443b34b