Skip to main content

Security Bite эксклюзивно предоставлен вам Mosyle, единственная унифицированная платформа Apple. Все, что мы делаем, — это обеспечить готовность устройств Apple к работе и безопасность на предприятии. Наш уникальный интегрированный подход к управлению и безопасности сочетает в себе самые современные решения безопасности Apple для полностью автоматизированной защиты и соответствия требованиям, EDR следующего поколения, нулевого доверия на базе искусственного интеллекта и эксклюзивного управления привилегиями с самой мощной и современной Apple MDM. на рынке. Результатом стала полностью автоматизированная унифицированная платформа Apple, которой в настоящее время доверяют более 45 000 организаций, которая позволяет подготовить к работе миллионы устройств Apple без каких-либо усилий и по доступной цене. Запросите РАСШИРЕННУЮ ПРОБНУЮ ПРОБНУЮ ВЕРСИЮ сегодня и поймете, почему Mosyle — это все, что вам нужно для работы с Apple.

Возможно, впервые с момента выпуска macOS Sequoia исследователи кибербезопасности определили новый вектор атаки, который обходит обычное «открытие правой кнопкой мыши» в пользу чего-то довольно необычного. Согласно недавнему выводу, опубликованному в социальных сетях, этот новый метод заключается в том, что пользователей обманом заставляют перетаскивать вредоносный код (через файл .txt) непосредственно в Терминал.

Выпустив macOS Sequoia, Apple предприняла активный шаг, чтобы не дать Джо Шмосу запускать вредоносное ПО на своих компьютерах Mac. Пользователи Sequoia больше не могут, удерживая клавишу Control, отключить Gatekeeper и открыть программное обеспечение, которое не подписано или нотариально заверено Apple, без необходимости заходить в «Настройки», затем «Безопасность и конфиденциальность», чтобы «проверить информацию о безопасности», прежде чем иметь возможность запускать программное обеспечение. Дополнительные шаги пытаются проинформировать пользователя о том, что он монтирует на диск, и, в идеале, заставить его задуматься.

Конечно, это мешает действиям злодеев (киберпреступников), которые процветают за счет того, что пользователи заставляют щелкнуть правой кнопкой мыши и нажать «Открыть», чтобы использовать любое законное приложение, которое, по их мнению, они установили. Я предполагаю, что чем больше пользователей продолжают использовать Sequoia, тем меньше операций выполняется на машинах и, следовательно, тем меньше денег они зарабатывают на опустошении криптокошельков на Mac и так далее.

Теперь мы наблюдаем один из первых случаев, когда киберпреступники развивают свою тактику, чтобы обойти последнее изменение Gatekeeper в macOS Sequioa. Этот конкретный образец нового инфокрада носит имя Cosmical_setup и отслеживается как связанный с Amos.

Вот как это работает:

  1. Злоумышленник доставляет жертве файл образа диска (DMG).
  2. Жертве предлагается открыть приложение «Терминал», и вместо того, чтобы щелкнуть правой кнопкой мыши для установки, ему предлагается перетащить файл «.txt» прямо в окно Терминала.
  3. Казалось бы, безобидный файл «.txt» на самом деле является вредоносным сценарием Bash. После попадания в терминал он запускает выполнение osascript, который затем запускает команды AppleScript.

Демо через @g0njxa на X.

Этот подход более тривиален для таких людей, как мои бабушка и дедушка, с помощью простого щелчка правой кнопкой мыши. Нам придется подождать и посмотреть, будут ли злодеи придерживаться этого или это всего лишь разовая проверка вредоносного продукта. В общем, я использую своих бабушек и дедушек для масштабирования большинства вредоносных программ, и это не проходит. Молодец, Эппл.