Security Bite: Hakerzy kierują teraz użytkowników do Terminalu, aby ominąć Gatekeepera w macOS Sequoia

9to5Mac Security Bite jest dostarczany wyłącznie przez Mosyle, jedyna zunifikowana platforma Apple. Wszystko, co robimy, to sprawianie, iż urządzenia Apple są gotowe do pracy i bezpieczne dla przedsiębiorstw. Nasze unikalne zintegrowane podejście do zarządzania i bezpieczeństwa łączy najnowocześniejsze rozwiązania bezpieczeństwa specyficzne dla Apple, zapewniające w pełni zautomatyzowane wzmacnianie i zgodność, EDR nowej generacji, Zero Trust oparte na sztucznej inteligencji i ekskluzywne zarządzanie uprawnieniami z najpotężniejszym i najnowocześniejszym rozwiązaniem Apple MDM na rynku. Rezultatem jest całkowicie zautomatyzowana ujednolicona platforma Apple, której w tej chwili zaufało ponad 45 000 organizacji, dzięki której miliony urządzeń Apple są gotowe do pracy bez wysiłku i po przystępnej cenie. Poproś o ROZSZERZONY okres próbny już dziś i zrozum, dlaczego Mosyle to wszystko, czego potrzebujesz do pracy z Apple.

Być może po raz pierwszy od czasu wydania macOS Sequoiabadacze cyberbezpieczeństwa zidentyfikowali nowy wektor ataku, który omija zwykłe „kliknięcie prawym przyciskiem myszy” na rzecz czegoś raczej niezwykłego. W niedawnym znalezisku udostępniony w mediach społecznościowychta nowa metoda polega na nakłonieniu użytkowników do przeciągnięcia i upuszczenia złośliwego kodu (za pośrednictwem pliku .txt) bezpośrednio do terminala.

Wraz z wydaniem systemu macOS Sequoia firma Apple podjęła proaktywne kroki, aby powstrzymać Joe Shmoesa przed uruchamianiem złośliwego systemu na swoich komputerach Mac. Użytkownicy Sequoia nie mogą już klikać przytrzymując klawisz Control, aby zastąpić funkcję Gatekeeper i otwierać oprogramowanie, które nie jest podpisane lub poświadczone notarialnie przez firmę Apple, bez konieczności wchodzenia do Ustawień, a następnie do opcji Bezpieczeństwo i prywatność, aby „przejrzeć informacje dotyczące bezpieczeństwa” przed uruchomieniem oprogramowania. Dodatkowe kroki mają na celu poinformowanie użytkownika o tym, co instaluje na dysku, a najlepiej dać mu pauzę.

Oczywiście utrudnia to działalność złoczyńców (cyberprzestępców), których zadaniem jest oszukiwanie użytkowników, aby kliknęli prawym przyciskiem myszy i nacisnęli „Otwórz”, aby skorzystać z dowolnej legalnej aplikacji, którą według nich zainstalowali. Spekuluję, iż im więcej użytkowników będzie przez cały czas adoptować Sequoię, tym mniej egzekucji będzie miało miejsce na maszynach, a co za tym idzie, tym mniej pieniędzy zarobią na drenowaniu portfeli kryptowalut na komputerach Mac i tak dalej.

Obecnie jesteśmy świadkami jednego z pierwszych przypadków ewolucji taktyki cyberprzestępców w celu obejścia najnowszej zmiany Gatekeepera w systemie macOS Sequioa. Ta konkretna próbka nowego złodzieja informacji występuje pod nazwą Cosmical_setup i jest śledzona jako powiązana z Amosem.

Oto jak to działa:

1. Osoba atakująca dostarcza ofierze plik obrazu dysku (DMG).
2. Ofiara jest proszona o otwarcie aplikacji Terminal i zamiast klikania prawym przyciskiem myszy w celu instalacji, jest proszona o przeciągnięcie i upuszczenie pliku „.txt” bezpośrednio do okna Terminala.
3. Pozornie nieszkodliwy plik „.txt” jest w rzeczywistości złośliwym skryptem Bash. Po wrzuceniu do terminala uruchamia wykonanie osascript, który następnie uruchamia polecenia AppleScript.

Takie podejście jest bardziej trywialne dla osób takich jak moi dziadkowie i można je wykonać dzięki prostego kliknięcia prawym przyciskiem myszy. Będziemy musieli poczekać i zobaczyć, czy złoczyńcy będą się tego trzymać, czy będzie to tylko jednorazowy test produktu na szkodliwe oprogramowanie. Ogólnie rzecz biorąc, używam moich dziadków do skalowania większości złośliwych programów i to nie przechodzi. Dobra robota, Apple.