新 macOS 窃取活动在 ClickFix 攻击中使用 Script Editor
Source: Bleeping Computer
请提供您希望翻译的完整文本内容,我将为您翻译成简体中文并保留原始的格式、Markdown 语法以及技术术语。谢谢!
概览
一个新出现的攻击活动向 macOS 用户投放 Atomic Stealer 恶意软件,利用 Script Editor 实现了 ClickFix 攻击的变体,诱骗用户在 Terminal 中执行命令。
Script Editor 是 macOS 内置的脚本编辑与运行应用,主要用于 AppleScript 和 JXA,能够执行本地脚本和 shell 命令。它是预装在 macOS 系统上的受信任应用。
虽然这并非首次被用于投放恶意软件,但研究人员指出,在 ClickFix 社会工程技术的上下文中,它不需要受害者手动交互 Terminal 并执行命令。
除了基于 Terminal 的变体被广泛报道外,macOS Tahoe 26.4 通过在尝试执行命令时弹出警告的方式,加入了对 ClickFix 攻击的防护(参考链接)。
在由 Jamf 的安全研究人员观察到的 新一轮投放 Atomic Stealer 的活动中,黑客使用伪装成 Apple 主题的假网站,声称提供帮助用户回收 Mac 磁盘空间的指南。这些页面包含看似合法的系统清理指令,却利用 applescript:// URL 方案启动 Script Editor 并预填可执行代码。
恶意网页弹出的打开 Script Editor 提示
来源:Jamf
恶意代码运行一个经过混淆的 curl | zsh 命令,将脚本直接下载并在系统内存中执行:
curl | zsh该脚本的工作流程:
- 解码一个 Base64 编码、gzip 压缩的负载。
- 下载一个二进制文件到
/tmp/helper。 - 使用
xattr -c移除安全属性。 - 使二进制文件可执行并运行它。
最终负载是一个被识别为 Atomic Stealer (AMOS) 的 Mach‑O 二进制文件,这是一种商品化的恶意软件即服务(malware‑as‑a‑service),在过去一年中已在各种诱饵下的 ClickFix 攻击 中被广泛部署(参考链接)。
目标数据
Atomic Stealer 收集广泛的敏感信息,包括:
- 钥匙串条目
- 桌面文件
- 浏览器加密货币钱包扩展
- 浏览器自动填充数据、密码、Cookie 和已保存的信用卡信息
- 系统信息
去年,AMOS 还添加了后门组件,以便攻击者对受感染系统保持持久访问。
缓解措施
- 将 Script Editor 提示视为高风险;除非完全了解并信任来源,否则不要运行。
- 仅依赖官方 Apple 文档进行 macOS 故障排除。
- 虽然 Apple 支持社区可能提供帮助,但请记住它们是用户生成的内容,未必完全安全。
自动化渗透测试仅覆盖 6 种表面中的 1 种
自动化渗透测试证明路径存在。BAS 证明你的控制是否能阻止它。大多数团队只运行其中一种而不使用另一种。
此白皮书映射了六个验证表面,展示了覆盖的终点,并为从业者提供了三个用于任何工具评估的诊断问题。