СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:23
#ИБ

ClickFix атакует macOS: стиллеры крадут пароли и криптокошельки

Кампания ClickFix представляет собой сложную киберугрозу, нацеленную на пользователей macOS и построенную вокруг развертывания infostealers. Злоумышленники маскируют вредоносные действия под полезные инструкции по устранению неполадок, побуждая пользователей самостоятельно запускать команды в Terminal. В результате на скомпрометированные устройства устанавливается вредоносное ПО, в том числе SHub Stealer и AMOS.

Как работает схема атаки

Основой кампании стала эксплуатация доверия пользователей к инструкциям, которые выглядят легитимно. Вместо традиционной доставки через ручную установку приложений злоумышленники делают ставку на команды Terminal, способные запускать вредоносные AppleScripts без прохождения типичных проверок безопасности, связанных с установкой приложений.

Первичный доступ часто обеспечивается через поддельные сообщения о поиске и устранении неполадок на популярных блог-платформах. Такие материалы подталкивают пользователя вставить и выполнить вредоносную команду, после чего начинается загрузка скриптов и исполняемых файлов с инфраструктуры, контролируемой атакующими.

Многоэтапная вредоносная цепочка

ClickFix использует многоэтапную стратегию, в рамках которой каждый шаг повышает устойчивость атаки и затрудняет анализ. После выполнения команды терминала вредоносный компонент извлекает скрипты с удаленного сервера, собирает системные данные и готовит почву для дальнейшего развертывания полезной нагрузки.

  • извлечение скриптов с контролируемого злоумышленниками сервера;
  • сбор системной информации для последующих этапов атаки;
  • доставка дополнительных полезной нагрузки или скриптов для кражи учетных данных;
  • закрепление через LaunchAgent для запуска при старте системы;
  • создание бэкдор-канала для удаленного выполнения команд.

После установки стиллер начинает манипулировать локальными приложениями, чтобы перехватывать конфиденциальную информацию. Для закрепления в системе используются конфигурации LaunchAgent, позволяющие вредоносному ПО сохранять активность после перезагрузки устройства.

Что именно крадет вредоносное ПО

По данным отчета, вредоносный код ориентирован на обширный сбор данных. В его фокусе оказываются как учетные данные, так и финансовая информация, включая данные из криптовалютных приложений и кошельков.

Среди целевых источников:

  • bash Command History;
  • учетные данные браузера;
  • записи Keychain;
  • криптовалютные кошельки;
  • локальные системные утилиты, используемые для проверки учетных данных.

Отдельное внимание уделяется высокоцeнным учетным данным и финансовым данным, что повышает риск несанкционированного доступа и последующего захвата учетных записей.

Скрытие следов и эксфильтрация

ВПО выстроено таким образом, чтобы минимизировать шансы на обнаружение и осложнить криминалистический анализ. После эксфильтрации данных оно удаляет пути временного хранения, скрывая следы своей активности.

Для передачи собранной информации используются такие методы, как curl и HTTP POST-запросы. Данные могут сначала размещаться во временных файлах, после чего передаваться на инфраструктуру управления и контроля.

«Кампания демонстрирует переход от привычных сценариев доставки вредоносного ПО к эксплуатации команд терминала, которыми сами пользователи запускают вредоносные действия».

Управление через C2 и адаптация инфраструктуры

Работа вредоносного ПО управляется загрузчиком разведки, который взаимодействует с жестко закодированной инфраструктурой C2. Этот компонент поддерживает динамическое обнаружение серверов команд, что позволяет адаптироваться к различным средам и сохранять непрерывный доступ к скомпрометированным системам.

Такая архитектура делает кампанию более гибкой и усложняет блокировку, поскольку злоумышленники могут оперативно переключаться между инфраструктурными узлами.

Обнаружение и защита

Microsoft Defender задокументировал набор возможностей обнаружения, связанных с этой кампанией. В частности, речь идет о классификациях наблюдаемого поведения ВПО, а также о детектах, связанных с подозрительным выполнением команд оболочки и активностью по обфускации.

На фоне того, как атакующие продолжают совершенствовать свои техники, критически важными остаются:

  • контроль зависимостей инфраструктуры;
  • оперативное реагирование на инциденты;
  • обучение пользователей;
  • проверка любых инструкций, предлагающих вставить команды в Terminal;
  • мониторинг подозрительной активности, связанной с AppleScripts, LaunchAgent и C2.

ClickFix наглядно показывает, что социальная инженерия на macOS все чаще опирается не на классическую установку приложений, а на принуждение пользователя к самостоятельному запуску вредоносных команд. Именно этот подход делает кампанию особенно опасной: атака выглядит как рекомендация по устранению проблемы, но на деле открывает путь к краже данных, закреплению в системе и удаленному управлению зараженным устройством.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: