- Os hackers reviveram o ataque ClickFix no macOS.
- O novo método abusa do editor de scripts por meio de esquemas de URL.
- A campanha apresenta Atomic Stealer para exfiltrar dados confidenciais.
Os hackers estão adicionando novas variações ao ataque ClickFix existente para contornar as proteções do macOS recentemente introduzidas e ainda entregar malware infostealer aos dispositivos das pessoas, alertaram os especialistas.
Os pesquisadores de segurança Jamf Threat Labs descobriram recentemente uma dessas campanhas. famoso Até agora, os ataques ClickFix no macOS tentaram forçar as vítimas a copiar e colar comandos no terminal.
No entanto, no macOS 26.4, esse método não funciona mais porque o dispositivo verifica todos os comandos colados antes de executá-los. Então os criminosos foram criativos e encontraram um novo ponto de entrada: um editor de roteiro.
O artigo continua abaixo
Excluir AMOS
Editor de scripts é um aplicativo macOS integrado que permite aos usuários criar, editar e executar scripts para automatizar tarefas e controlar aplicativos. O suporte para AppleScript e JavaScript permite aos usuários agilizar tarefas específicas sem criar um programa de software inteiro.
Para forçar a vítima a executar um editor de scripts, o invasor usou um esquema de URL.
“Os editores de scripts têm um histórico bem documentado como mecanismos de distribuição de malware, portanto sua presença aqui não é surpreendente”, escreveram os pesquisadores. “O que é digno de nota é o seu papel nesta campanha ClickFix e o fato de ter sido invocado através de um esquema de URL.”
Os esquemas de URL são um tipo especial de link que usa um prefixo personalizado para executar uma ação específica.
Na campanha, os golpistas criaram um site que oferece maneiras de “recuperar espaço em disco” no seu Mac. Para isso, o usuário deve pressionar o botão “Executar” exibido na página que chama o esquema de URL applescript://. Esse esquema solicitava que o usuário abrisse um editor de script que, se aprovado, seria executado com um script pré-preenchido.
“Essa abordagem reduz a interação direta do usuário”, acrescentou Jamf. “Em vez de digitar comandos em um terminal, os usuários são direcionados para uma janela pré-preenchida do editor de script em uma página da web.”
Este script implanta o Atomic Stealer, um conhecido infostealer do macOS que pode exfiltrar senhas, informações de carteira de criptomoeda e dados armazenados. Navegador, etc.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e Adicione-nos como fonte preferencial Receba notícias, análises e opiniões de especialistas em seu feed. Certifique-se de clicar no botão seguir!
Claro que você também pode Siga o TechRadar no TikTok Confira novidades, análises, unboxings em formato de vídeo e receba atualizações regulares. WhatsApp fazer.
