Киберпреступники начали использовать новый вектор атаки на пользователей macOS Sequoia. Адаптируясь под изменения в операционной системе, злоумышленники теперь просят пользователей запустить приложение «Терминал» и перетащить туда текстовый файл.
Именно так атакующие пытаются обойти защиту Gatekeeper, которую Apple доработала с выходом macOS Sequoia.
Ранее работала установка «запускайте файл правой кнопкой мышью», однако теперь, согласно сообщениям исследователей, потенциальную жертву просят запустить терминал и перетащить туда текстовый файл (.txt), содержащий вредоносный код.
Метод используется для распространения нового инфостилера — Cosmical_setup. Алгоритм в этом случае выглядит так:
- Атакующий отправляет жертве файл в формате DMG (образ диска).
- Параллельно получателя просят открыть приложение «Терминал» и перетащить на его окно TXT-файл.
- Поскольку это не просто безобидный текстовый файл, а вполне себе вредоносный Bash-скрипт, при перетаскивании стартует выполнение команд AppleScript.
А вот как выглядит вектор атаки на видео: