Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
ClickFix to technika socjotechniczna, w której atakujący nakłaniają ofiarę do samodzielnego wykonania polecenia w Terminalu pod pretekstem rozwiązania problemu technicznego, potwierdzenia CAPTCHA lub naprawy błędu przeglądarki. W najnowszej kampanii wymierzonej w użytkowników macOS schemat ten został rozszerzony o ciche pobranie i zamontowanie obrazu DMG, a następnie automatyczne uruchomienie osadzonego w nim złośliwego oprogramowania.
Końcowym ładunkiem jest Atomic macOS Stealer, znany również jako AMOS. To rodzina malware zaprojektowana do kradzieży poświadczeń, danych z przeglądarek, portfeli kryptowalutowych, komunikatorów oraz innych wrażliwych informacji przechowywanych na urządzeniu.
W skrócie
- Atak rozpoczyna się od fałszywej strony weryfikacyjnej lub komunikatu podszywającego się pod pomoc techniczną.
- Użytkownik jest instruowany, aby wkleić do Terminala gotowe polecenie.
- Skrypt pobiera plik DMG do katalogu tymczasowego, montuje go bez widoczności w Finderze i uruchamia zawartą aplikację lub pakiet.
- Na urządzenie trafia infostealer AMOS, który wykrada szeroki zakres danych użytkownika.
- Technika ogranicza liczbę interakcji wymaganych od ofiary, co zwiększa skuteczność infekcji.
Kontekst / historia
ClickFix zyskał popularność jako metoda obchodzenia klasycznych zabezpieczeń poprzez przeniesienie kluczowego etapu wykonania na użytkownika. Zamiast wykorzystywać bezpośrednio podatność umożliwiającą zdalne wykonanie kodu, operatorzy kampanii tworzą wiarygodny pretekst i skłaniają ofiarę do samodzielnego uruchomienia komendy.
W środowisku macOS obrazy DMG od dawna były wykorzystywane jako nośnik dystrybucji aplikacji, ale również malware. W wielu wcześniejszych scenariuszach użytkownik musiał jednak ręcznie otworzyć pobrany obraz i kliknąć odpowiedni plik. W opisywanej kampanii etap ten został zautomatyzowany, co zmniejsza szansę, że ofiara zauważy podejrzane zachowanie systemu.
Analiza techniczna
Zaobserwowany łańcuch ataku wykorzystuje natywne narzędzia systemowe macOS. Po wklejeniu polecenia do Terminala skrypt pobiera zdalnie plik DMG przy użyciu narzędzia curl, zwykle zapisując go w katalogu /tmp pod losową nazwą. Taka lokalizacja utrudnia szybkie wykrycie pobranego pliku przez użytkownika.
Następnie uruchamiane jest polecenie hdiutil attach -nobrowse, które montuje obraz bez eksponowania go w Finderze i bez typowego sygnału wizualnego w postaci widocznego wolumenu. Po zamontowaniu skrypt przeszukuje strukturę katalogów i szuka pierwszego dostępnego pakietu .app lub .pkg, a następnie uruchamia go z użyciem polecenia open.
W analizowanym scenariuszu ładunek stanowiła aplikacja powiązana z rodziną Atomic macOS Stealer. Po uruchomieniu AMOS rozpoczyna zbieranie danych z wielu źródeł, w tym z przeglądarek opartych na Chromium, aplikacji z rodziny Firefox, Safari, Apple Notes, Telegram Desktop, Discorda, Apple Keychain oraz wybranych dokumentów użytkownika.
Istotnym elementem kampanii jest także próba pozyskania hasła użytkownika poprzez fałszywe okno uwierzytelnienia przypominające systemowy prompt macOS. Zdobycie takich poświadczeń może zwiększyć zakres kompromitacji i ułatwić dalsze działania po stronie atakującego, w tym dostęp do dodatkowych zasobów i danych finansowych.
Dodatkowe zagrożenie stanowi możliwość podmiany legalnych narzędzi związanych z kryptowalutami lub portfelami sprzętowymi na zmodyfikowane wersje. Tego rodzaju działanie może służyć zarówno do natychmiastowej kradzieży aktywów, jak i do utrzymywania dłuższego dostępu do wrażliwych danych użytkownika.
Konsekwencje / ryzyko
Największe ryzyko tej kampanii wynika z faktu, że nie opiera się ona na klasycznym exploicie, lecz na manipulacji użytkownikiem. To sprawia, że część tradycyjnych mechanizmów ochronnych może nie zadziałać na odpowiednio wczesnym etapie, ponieważ działania wykonywane są przy użyciu legalnych narzędzi systemowych.
Wykorzystanie curl, hdiutil i open obniża próg detekcji, szczególnie w środowiskach o ograniczonej telemetrii. Z punktu widzenia organizacji skutkiem może być kradzież haseł, przejęcie sesji przeglądarkowych, utrata danych z komunikatorów, wyciek dokumentów oraz kompromitacja portfeli kryptowalutowych.
Dla zespołów bezpieczeństwa oznacza to także ryzyko incydentów wtórnych. Skradzione poświadczenia mogą zostać użyte do przejęcia kont SaaS, paneli administracyjnych, skrzynek pocztowych, kanałów komunikacji firmowej lub zasobów chmurowych. W praktyce pojedyncza infekcja stacji roboczej może szybko przerodzić się w szersze naruszenie bezpieczeństwa.
Rekomendacje
Podstawową zasadą powinno być traktowanie każdej strony wymagającej uruchomienia polecenia w Terminalu jako potencjalnie złośliwej. Legalne usługi internetowe nie wymagają od użytkownika wykonywania komend systemowych w celu zaliczenia CAPTCHA, odblokowania treści czy usunięcia rzekomego błędu przeglądarki.
W środowiskach firmowych warto wdrożyć monitorowanie nietypowych sekwencji użycia narzędzi systemowych, zwłaszcza gdy obejmują one pobranie pliku do katalogu tymczasowego, ciche montowanie DMG i automatyczne uruchomienie aplikacji. Pomocne może być również logowanie uruchomień z zamontowanych obrazów oraz korelacja takich zdarzeń z aktywnością Terminala i przeglądarek.
- szkolenie użytkowników z rozpoznawania scenariuszy ClickFix,
- ograniczenie uruchamiania niezatwierdzonych aplikacji i pakietów instalacyjnych,
- stosowanie kontroli aplikacyjnej, MDM i polityk bezpieczeństwa macOS,
- włączenie wieloskładnikowego uwierzytelniania i używanie menedżerów haseł,
- regularna aktualizacja systemu i narzędzi ochronnych,
- natychmiastowa zmiana haseł i unieważnienie sesji po podejrzeniu infekcji.
Jeśli incydent zostanie wykryty, urządzenie należy traktować jako potencjalnie skompromitowane w zakresie danych uwierzytelniających. Reakcja powinna objąć analizę artefaktów w katalogach tymczasowych, historię poleceń powłoki, listę ostatnio montowanych wolumenów, kontrolę integralności aplikacji związanych z kryptowalutami oraz pełną rotację poświadczeń używanych na danym systemie.
Podsumowanie
Nowa kampania ClickFix wymierzona w macOS pokazuje, że skuteczny atak nie zawsze wymaga zaawansowanych exploitów. Wystarczy wiarygodny pretekst, odpowiednio przygotowany skrypt i wykorzystanie natywnych funkcji systemu, aby doprowadzić do infekcji groźnym infostealerem.
Ciche montowanie obrazów DMG i automatyczne uruchamianie ich zawartości znacząco podnoszą skuteczność całego łańcucha ataku. Dla użytkowników oznacza to konieczność bezwzględnej ostrożności wobec wszelkich instrukcji nakazujących użycie Terminala, a dla obrońców potrzebę lepszego monitorowania zachowań systemowych pozornie wyglądających na legalne.
Źródła
- BleepingComputer — New macOS ClickFix attack silently mounts DMGs to push infostealer — https://www.bleepingcomputer.com/news/security/new-macos-clickfix-attack-silently-mounts-dmgs-to-push-infostealer/