Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Na użytkowników macOS wymierzono nową kampanię phishingowo-malware’ową, w której przestępcy wykorzystują technikę ClickFix do nakłonienia ofiary do uruchomienia złośliwego kodu. Charakterystycznym elementem tej odsłony ataku jest nadużycie wbudowanej aplikacji Script Editor zamiast częściej spotykanego Terminala. Taki zabieg zwiększa wiarygodność fałszywych instrukcji i może osłabić czujność użytkownika, który nie kojarzy edytora skryptów z bezpośrednim ryzykiem infekcji.
Celem kampanii jest dostarczenie malware Atomic Stealer, znanego także jako AMOS. To wyspecjalizowane złośliwe oprogramowanie zaprojektowane do kradzieży danych z systemów Apple, w tym haseł, cookies, informacji zapisanych w przeglądarkach oraz danych z portfeli kryptowalutowych.
W skrócie
- Atak wykorzystuje fałszywe strony podszywające się pod poradniki Apple dotyczące odzyskiwania miejsca na dysku.
- Ofiara jest przekierowywana do Script Editor przy użyciu schematu
applescript://. - Uruchomiony skrypt pobiera i wykonuje ładunek prowadzący do instalacji Atomic Stealer.
- Malware kradnie dane z Keychain, przeglądarek, zapisanych haseł, kart płatniczych i portfeli kryptowalutowych.
- Kampania omija część intuicyjnych sygnałów ostrzegawczych związanych z ręcznym uruchamianiem komend w Terminalu.
Kontekst / historia
ClickFix to technika socjotechniczna, w której ofiara otrzymuje instrukcję rzekomej „naprawy” błędu, aktualizacji lub problemu systemowego. W praktyce użytkownik sam wykonuje działania prowadzące do kompromitacji urządzenia. W poprzednich kampaniach opartych na tym modelu dominowały scenariusze wymagające skopiowania i uruchomienia polecenia w Terminalu, co dla bardziej świadomych odbiorców bywało sygnałem ostrzegawczym.
Obecna kampania pokazuje ewolucję tego schematu. Przestępcy porzucili oczywisty kontekst administracyjny Terminala na rzecz natywnej aplikacji macOS, która z perspektywy wielu użytkowników wygląda mniej groźnie. To przykład szerszego trendu polegającego na nadużywaniu legalnych i zaufanych komponentów systemowych do realizacji złośliwych działań.
Sam Atomic Stealer nie jest nowym zagrożeniem. Od dłuższego czasu pozostaje aktywnym narzędziem cyberprzestępczym i występuje w kampaniach wykorzystujących socjotechnikę, fałszywe aktualizacje oraz spreparowane materiały pomocnicze. Jego trwała obecność w krajobrazie zagrożeń dla macOS potwierdza, że platforma Apple nie jest odporna na zaawansowane operacje kradzieży danych.
Analiza techniczna
Mechanizm infekcji rozpoczyna się od wejścia użytkownika na stronę stylizowaną na pomoc techniczną Apple. Fałszywy serwis prezentuje instrukcje związane z oczyszczaniem przestrzeni dyskowej i zawiera elementy graficzne oraz komunikaty zaprojektowane tak, aby przypominały legalne wsparcie producenta.
Kluczowy etap polega na wykorzystaniu schematu applescript://, który otwiera Script Editor z gotowym skryptem. Użytkownik widzi pozornie nieszkodliwe narzędzie pomocnicze, ale po jego uruchomieniu wykonywany jest łańcuch poleceń prowadzący do pobrania i uruchomienia złośliwego oprogramowania.
Zaobserwowany mechanizm obejmuje obfuskowane polecenia typu curl | zsh, czyli pobranie zdalnej treści i natychmiastowe wykonanie jej w powłoce. Następnie dochodzi do dekodowania danych zakodowanych w Base64, rozpakowania ładunku, pobrania binarium do katalogu tymczasowego, usunięcia atrybutów bezpieczeństwa przy użyciu xattr -c, nadania praw wykonywania oraz startu finalnego pliku.
Ostateczny ładunek stanowi binarium Mach-O identyfikowane jako Atomic Stealer. Malware koncentruje się na kradzieży danych wysokiej wartości, w tym wpisów z Keychain, danych autouzupełniania, zapisanych haseł, plików cookies, informacji o kartach płatniczych, danych systemowych i artefaktów związanych z portfelami kryptowalutowymi w przeglądarkach. W praktyce może to oznaczać szybkie przejęcie dostępu do usług osobistych i firmowych bez konieczności stosowania bardziej złożonych technik post-exploitation.
Istotnym aspektem kampanii jest również zmiana percepcji ryzyka. Dla wielu użytkowników Terminal kojarzy się z działaniami administracyjnymi i potencjalnym zagrożeniem, natomiast Script Editor nie budzi podobnych skojarzeń. Atakujący wykorzystują więc psychologię zaufania do narzędzi systemowych, aby zwiększyć skuteczność operacji.
Konsekwencje / ryzyko
Udana infekcja może prowadzić do poważnych skutków zarówno dla użytkowników indywidualnych, jak i organizacji korzystających z macOS. Kradzież haseł, tokenów sesyjnych i danych z Keychain może umożliwić przejęcie skrzynek pocztowych, kont w usługach SaaS, narzędzi deweloperskich, komunikatorów oraz paneli administracyjnych.
Duże ryzyko dotyczy także sfery finansowej. Dane z kart płatniczych, cookies sesyjne i informacje z rozszerzeń portfeli kryptowalutowych mogą zostać wykorzystane do bezpośrednich strat finansowych, obchodzenia mechanizmów logowania i dalszej eskalacji dostępu.
W środowisku firmowym zagrożenie jest jeszcze szersze. Kompromitacja pojedynczego hosta może stać się punktem wyjścia do ataków na repozytoria kodu, systemy wsparcia, platformy chmurowe i konta uprzywilejowane. Jeśli złośliwe oprogramowanie lub operator kampanii uzyskają możliwość utrzymania dostępu, incydent może szybko wyjść poza etap zwykłej kradzieży danych i przerodzić się w głębszą infiltrację infrastruktury.
Rekomendacje
Organizacje powinny potraktować nieoczekiwane uruchomienia Script Editor jako zdarzenia podwyższonego ryzyka, zwłaszcza jeśli następują po interakcji z przeglądarką lub niestandardowym schematem URI. Ochrona przed takimi kampaniami wymaga połączenia monitoringu, kontroli wykonania oraz edukacji użytkowników.
- Monitorować uruchomienia Script Editor,
osascript,zsh,shi procesów odpowiedzialnych za pobieranie treści z sieci. - Wykrywać sekwencje obejmujące użycie
curl, dekodowanie Base64, operacje w katalogach tymczasowych i modyfikację atrybutów przezxattr. - Ograniczać możliwość uruchamiania nieautoryzowanych skryptów i egzekwować polityki dla narzędzi administracyjnych.
- Stosować EDR/XDR dla macOS z telemetrią procesową oraz regułami wykrywającymi nadużycie zaufanych aplikacji systemowych.
- Szkolić użytkowników, aby nie wykonywali „napraw” prezentowanych przez losowe strony internetowe.
- Promować korzystanie wyłącznie z oficjalnej dokumentacji producenta podczas rozwiązywania problemów systemowych.
- W przypadku podejrzenia kompromitacji przeprowadzić rotację haseł, unieważnienie sesji, przegląd zapisanych sekretów i ocenę pełnego zasięgu incydentu.
Z perspektywy reagowania na incydent warto dodatkowo przeanalizować artefakty w katalogach tymczasowych, historię uruchomień procesów, ślady pobrań internetowych oraz wykonania skryptów przez komponenty AppleScript i JXA. Sama eliminacja pliku malware może nie być wystarczająca, jeśli doszło już do wycieku danych uwierzytelniających.
Podsumowanie
Nowa kampania wymierzona w macOS pokazuje, że operatorzy zagrożeń stale udoskonalają techniki ClickFix i adaptują je do zachowań użytkowników. Nadużycie Script Editor zamiast Terminala zwiększa skuteczność socjotechniki i wpisuje się w model wykorzystywania zaufanych narzędzi systemowych do realizacji złośliwych celów.
Atomic Stealer pozostaje istotnym zagrożeniem dla środowisk Apple, szczególnie tam, gdzie na stacjach roboczych przechowywane są hasła, dane przeglądarek i aktywa kryptowalutowe. Dla zespołów bezpieczeństwa kluczowe znaczenie mają monitoring procesów, detekcja łańcuchów wykonania oraz konsekwentna edukacja użytkowników w zakresie fałszywych instrukcji i pozornie nieszkodliwych skryptów.
Źródła
- BleepingComputer — https://www.bleepingcomputer.com/news/security/new-macos-stealer-campaign-uses-script-editor-in-clickfix-attack/
- Jamf Threat Labs — https://www.jamf.com/blog/clickfix-on-macos-script-editor-abuse/
- Apple Platform Security — https://support.apple.com/guide/security/welcome/web
- MITRE ATT&CK — Command and Scripting Interpreter — https://attack.mitre.org/techniques/T1059/
- MITRE ATT&CK — przegląd technik związanych z kradzieżą poświadczeń — https://attack.mitre.org/