Kampania ClickFix na macOS wykorzystuje Script Editor do dostarczania Atomic Stealer

securitybeztabu.pl 1 dzień temu

Wprowadzenie do problemu / definicja

Nowa kampania typu ClickFix pokazuje, iż cyberprzestępcy gwałtownie dostosowują techniki inżynierii społecznej do zmian w zabezpieczeniach macOS. W tym scenariuszu użytkownik nie jest nakłaniany do uruchomienia polecenia w Terminalu, ale do wykonania skryptu w Script Editor, czyli natywnym narzędziu Apple do obsługi AppleScript i JavaScript for Automation.

Celem ataku jest dostarczenie infostealera Atomic Stealer, który po uruchomieniu może przechwytywać wrażliwe dane użytkownika i otwierać drogę do dalszej kompromitacji kont oraz środowisk firmowych.

W skrócie

Atak rozpoczyna się od fałszywej strony stylizowanej na komunikat Apple dotyczący zwolnienia miejsca na dysku. Po kliknięciu przycisku wykonania przeglądarka inicjuje otwarcie Script Editor przy użyciu schematu applescript://, a użytkownik otrzymuje gotowy skrypt do uruchomienia.

  • fałszywa strona podszywa się pod komunikat systemowy Apple,
  • Script Editor otwiera się z przygotowaną treścią skryptu,
  • po uruchomieniu skrypt pobiera kolejne etapy ładunku,
  • końcowym malware jest wariant Atomic Stealer.

To odejście od klasycznego modelu ClickFix opartego na ręcznym wklejaniu komend do Terminala może zwiększać wiarygodność ataku w oczach części użytkowników macOS.

Kontekst / historia

Technika ClickFix od dłuższego czasu pojawia się w kampaniach phishingowych i operacjach dostarczania malware. Jej podstawą jest socjotechnika: ofiara otrzymuje instrukcję, jak rzekomo rozwiązać problem techniczny, aktywować usługę lub naprawić system, podczas gdy w rzeczywistości sama inicjuje złośliwe działanie.

Początkowo podobne kampanie były najczęściej kojarzone ze środowiskiem Windows, ale z czasem objęły również Linux i macOS. Wraz z rozwojem zabezpieczeń Apple operatorzy zagrożeń zaczęli szukać alternatyw dla Terminala. Script Editor stał się naturalnym wyborem, ponieważ jest narzędziem systemowym i dla wielu użytkowników może wyglądać mniej podejrzanie niż okno powłoki.

Zmiana ta nie oznacza rewolucji technicznej, ale ma znaczenie operacyjne. Atakujący zachowują ten sam model manipulacji użytkownikiem, jednocześnie przenosząc wykonanie do aplikacji, która może budzić większe zaufanie.

Analiza techniczna

Łańcuch infekcji zaczyna się od wizyty na stronie podszywającej się pod oficjalny komunikat Apple. Przynęta obiecuje odzyskanie miejsca na dysku i sugeruje wykonanie prostej operacji konserwacyjnej.

Kluczowy element stanowi wykorzystanie schematu URI applescript://, który umożliwia otwarcie Script Editor z wcześniej przygotowaną treścią. Z perspektywy użytkownika przebieg wygląda pozornie legalnie: strona prosi o otwarcie lokalnej aplikacji, a następnie prezentuje gotowy skrypt do uruchomienia.

  • użytkownik odwiedza fałszywą stronę,
  • klika przycisk wykonania,
  • przeglądarka pyta o zgodę na otwarcie Script Editor,
  • w oknie aplikacji pojawia się wstępnie wypełniony skrypt,
  • ofiara uruchamia go, wierząc, iż wykonuje bezpieczne działanie administracyjne.

Sam skrypt uruchamia polecenie powłoki wykorzystujące curl, a także mechanizmy obfuskacji, takie jak translacja znaków przy użyciu tr. Wynik jest następnie przekazywany bezpośrednio do zsh, co ogranicza liczbę artefaktów zapisywanych na dysku na pierwszym etapie ataku.

Kolejny etap ładunku jest dodatkowo ukryty przez kodowanie Base64 i kompresję. Po dekodowaniu pobierany jest plik Mach-O do katalogu tymczasowego, usuwane są atrybuty rozszerzone, nadawane są prawa wykonywania, a następnie binarium zostaje uruchomione.

Końcowy komponent został zidentyfikowany jako Atomic Stealer, czyli infostealer ukierunkowany na środowisko Apple. Tego typu malware może pozyskiwać hasła, cookies, dane autouzupełniania, informacje z kart płatniczych, zasoby portfeli kryptowalutowych oraz dane przechowywane w Keychain.

W nowszych wersjach macOS użytkownik może zobaczyć dodatkowe ostrzeżenia przed zapisaniem lub uruchomieniem skryptu. przez cały czas jednak kluczowym elementem pozostaje decyzja człowieka. jeżeli ofiara zignoruje alerty i przejdzie dalej, infekcja może zostać skutecznie przeprowadzona.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem ataku jest kradzież danych uwierzytelniających i informacji finansowych. W praktyce może to prowadzić do przejęcia kont prywatnych i biznesowych, dostępu do poczty, usług SaaS, VPN, paneli administracyjnych i środowisk chmurowych.

Dla organizacji ryzyko wykracza daleko poza pojedynczy endpoint. Przejęte ciasteczka sesyjne oraz zapisane poświadczenia mogą ułatwić obejście części mechanizmów MFA i pozwolić atakującym na dalszą eskalację uprawnień. Szczególnie groźne są infekcje urządzeń należących do administratorów, developerów oraz pracowników z dostępem do systemów finansowych i krytycznych zasobów.

  • kradzież haseł i danych z przeglądarek,
  • przejęcie aktywnych sesji użytkowników,
  • dostęp do zasobów firmowych i usług chmurowych,
  • ryzyko nadużyć finansowych i wtórnych incydentów,
  • trudniejsza detekcja przez użycie natywnych komponentów macOS.

Rekomendacje

Organizacje korzystające z macOS powinny traktować ten scenariusz jako realne zagrożenie operacyjne. Obrona musi obejmować zarówno monitoring techniczny, jak i edukację użytkowników.

  • blokować lub monitorować nietypowe wywołania Script Editor z poziomu przeglądarek,
  • wdrożyć EDR/XDR z detekcjami dla osascript, Script Editor, curl, zsh oraz pobierania binariów do katalogów tymczasowych,
  • monitorować użycie schematów URI uruchamiających lokalne aplikacje z poziomu stron WWW,
  • wykrywać zachowania typu curl | sh oraz curl | zsh, szczególnie przy jednoczesnej obfuskacji,
  • kontrolować wykonywanie plików Mach-O pobieranych do /tmp i podobnych lokalizacji,
  • ograniczać możliwość uruchamiania nieautoryzowanych skryptów i narzędzi administracyjnych,
  • szkolić użytkowników, iż strony internetowe nie powinny inicjować lokalnych „napraw systemu”.

Z perspektywy SOC i DFIR warto także przeanalizować logi pod kątem połączeń do infrastruktury kampanii, sprawdzić procesy potomne przeglądarek uruchamiające komponenty skryptowe oraz rotować poświadczenia użytkowników, jeżeli istnieje podejrzenie kompromitacji.

Podsumowanie

Opisana kampania potwierdza, iż operatorzy malware na macOS coraz częściej wykorzystują legalne komponenty systemu jako pośredników do dostarczania finalnego ładunku. Przeniesienie wykonania z Terminala do Script Editor zwiększa wiarygodność scenariusza i może poprawić skuteczność ataku wobec mniej ostrożnych użytkowników.

Dla obrońców najważniejszy wniosek jest jasny: monitoring nie powinien ograniczać się wyłącznie do klasycznych wskaźników związanych z Terminalem. Skuteczna detekcja wymaga analizy zachowania użytkownika, korelacji zdarzeń między przeglądarką a komponentami systemowymi oraz szybkiej reakcji na symptomy kradzieży danych.

Źródła

  1. Help Net Security — https://www.helpnetsecurity.com/2026/04/10/clickfix-mac-malware-script-editor/
  2. Jamf Threat Labs: ClickFix technique uses Script Editor instead of Terminal on macOS — https://www.jamf.com/blog/clickfix-macos-script-editor-atomic-stealer/
Idź do oryginalnego materiału
  1. Strona główna
  2. Serwisy SEC
  3. Kampania ClickFix na macOS wykorzystuje Script Editor do dostarczania Atomic Stealer

Powiązane

GlassWorm rozwija kampanię supply chain z użyciem droppera Zig atakującego narzędzia deweloperskie

GlassWorm rozwija kampanię supply chain z użyciem droppera Z...

20 godzin temu
Operacja Atlantic: ponad 20 tys. ofiar oszustw kryptowalutowych zidentyfikowanych w międzynarodowej akcji

Operacja Atlantic: ponad 20 tys. ofiar oszustw kryptowalutow...

20 godzin temu
Anthropic prezentuje Mythos Preview: AI do wykrywania podatności i tworzenia exploitów otwiera nowy rozdział w cyberbezpieczeństwie

Anthropic prezentuje Mythos Preview: AI do wykrywania podatn...

1 dzień temu
Aktywnie wykorzystywany zero-day w Adobe Reader: złośliwy PDF ujawnia nowy wektor ataku

Aktywnie wykorzystywany zero-day w Adobe Reader: złośliwy PD...

1 dzień temu
FINRA uruchamia Financial Intelligence Fusion Center, wzmacniając wymianę danych o cyberzagrożeniach i oszustwach

FINRA uruchamia Financial Intelligence Fusion Center, wzmacn...

1 dzień temu
MITRE F3: nowe ramy walki z oszustwami cybernetycznymi

MITRE F3: nowe ramy walki z oszustwami cybernetycznymi

1 dzień temu
Cyberatak na Stryker: atak typu wiper zakłócił produkcję, logistykę i wyniki finansowe

Cyberatak na Stryker: atak typu wiper zakłócił produkcję, lo...

1 dzień temu
LucidRook: nowe malware uderza w NGO i uczelnie, wykorzystując Lua, Rust i DLL sideloading

LucidRook: nowe malware uderza w NGO i uczelnie, wykorzystuj...

1 dzień temu

Polecane

Szok na TurkStream: Materiały wybuchowe po groźbach wojny ze strony Viktora Orbána! | RFU News

Szok na TurkStream: Materiały wybuchowe po groźbach wojny ze...

3 dni temu
SEKTA Z BRONIĄ CHEMICZNĄ. "NAJWYŻSZA PRAWDA" I GAZY BOJOWE

SEKTA Z BRONIĄ CHEMICZNĄ. "NAJWYŻSZA PRAWDA" I GAZY BOJOWE

4 dni temu
Stan podwyższonej gotowości w największej elektrowni w Polsce. Rewolucyjny pomysł eksperta

Stan podwyższonej gotowości w największej elektrowni w Polsc...

4 dni temu
Prezydent Serbii Aleksandar Vučić ogłosił, iż jego służby wykryły ładunek wybuch…

Prezydent Serbii Aleksandar Vučić ogłosił, iż jego służby wy...

1 tydzień temu
Cztery granaty w Polance Wielkiej! Policja przez dobę strzegła, saperzy z Krakowa zabrali

Cztery granaty w Polance Wielkiej! Policja przez dobę strzeg...

2 tygodni temu
Policjanci i psy szkoleni w wykrywaniu narkotyków i materiałów wybuchowych

Policjanci i psy szkoleni w wykrywaniu narkotyków i materiał...

2 tygodni temu
Jak zadbać o bezpieczeństwo rodziny i firmy w dobie współczesnych zagrożeń? Pytania i odpowiedzi ekspertów

Jak zadbać o bezpieczeństwo rodziny i firmy w dobie współcze...

2 tygodni temu
Stopnie alarmowe w województwie łódzkim. Służby w gotowości

Stopnie alarmowe w województwie łódzkim. Służby w gotowości

3 tygodni temu
Fałszywe alarmy bombowe w polskich szkołach. Sprawcy nie mogą spać spokojnie

Fałszywe alarmy bombowe w polskich szkołach. Sprawcy nie mog...

3 tygodni temu