Операторы инфостилера просят пользователей macOS Sequoia запустить терминал

Операторы инфостилера просят пользователей macOS Sequoia запустить терминал

Операторы инфостилера просят пользователей macOS Sequoia запустить терминал

Киберпреступники начали использовать новый вектор атаки на пользователей macOS Sequoia. Адаптируясь под изменения в операционной системе, злоумышленники теперь просят пользователей запустить приложение «Терминал» и перетащить туда текстовый файл.

Именно так атакующие пытаются обойти защиту Gatekeeper, которую Apple доработала с выходом macOS Sequoia.

Ранее работала установка «запускайте файл правой кнопкой мышью», однако теперь, согласно сообщениям исследователей, потенциальную жертву просят запустить терминал и перетащить туда текстовый файл (.txt), содержащий вредоносный код.

 

Метод используется для распространения нового инфостилера — Cosmical_setup. Алгоритм в этом случае выглядит так:

  1. Атакующий отправляет жертве файл в формате DMG (образ диска).
  2. Параллельно получателя просят открыть приложение «Терминал» и перетащить на его окно TXT-файл.
  3. Поскольку это не просто безобидный текстовый файл, а вполне себе вредоносный Bash-скрипт, при перетаскивании стартует выполнение команд AppleScript.

 

А вот как выглядит вектор атаки на видео:

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Российский бизнес недооценивает угрозы от уязвимостей 0-day

Согласно исследованию ГК «Гарда», почти две трети российских компаний заявляют, что не сталкивались с атаками, использующими уязвимости нулевого дня. Однако 29% организаций фиксируют такие угрозы не реже раза в месяц, а 10% — несколько раз в неделю или чаще.

Для защиты от атак 0-day компании чаще всего полагаются на антивирусные решения (16%) и песочницы (15%).

Использование систем обнаружения и предотвращения вторжений (IDS/IPS) отмечено у 11% опрошенных, а решения класса EDR/XDR применяют 13% организаций.

При этом технологии глубокой сетевой аналитики (NTA/NDR) и межсетевые экраны нового поколения (NGFW) внедрены лишь в 6% компаний, а ложная инфраструктура (Deception) — в 9%. Источники внешних данных о киберугрозах (Threat Intelligence) задействованы только 4% респондентов.

Несмотря на использование различных средств защиты, российские компании не покрывают весь спектр угроз. Эксперты ГК «Гарда» отмечают, что низкий уровень внедрения передовых технологий (NTA/NDR, Threat Intelligence) может означать, что многие компании попросту не осознают факт атаки.

«Даже при регулярных обновлениях ПО атаки с использованием 0-day уязвимостей продолжают наносить серьёзный ущерб бизнесу», — комментирует Денис Батранков, директор по развитию продуктов ГК «Гарда».

«Чтобы противостоять таким угрозам, компаниям необходимо развивать проактивную защиту, снижая вероятность успешных атак и минимизируя возможные последствия».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru