Компанія ClickFix для macOS: Викрадачі даних AppleScript та нові захисти Terminal

SOC Prime Team

Стежити

Компанія ClickFix для macOS: Викрадачі даних AppleScript та нові захисти Terminal

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

Netskope Threat Labs виявила міжплатформенну кампанію ClickFix, яка націлена на користувачів macOS з використанням інфостілерів на базі AppleScript. Шкідливе програмне забезпечення доставляється через оманливу сторінку соціального інжинірингу, яка спонукає жертв скопіювати та вставити шкідливу команду в Terminal. Після виконання, скрипт збирає вміст зв’язки ключів, файли cookie браузера, дані розширень і файли криптовалютних гаманців, а потім відправляє викрадену інформацію через HTTP запити POST. Кампанія також використовує постійні фальшиві діалогові вікна, щоб обманути користувачів у введенні системного пароля.

Розслідування

Звіт пояснює, що шкідлива цільова сторінка спочатку фільтрує відвідувачів за допомогою агента користувача, перш ніж подавати завантажувач AppleScript, спеціально адаптований для систем macOS. Після виконання, шкідливий код створює тимчасовий каталог інсценування, збирає облікові дані та дані, пов’язані з гаманцями, стискає зібрані файли за допомогою ditto , і завантажує архів на жорстко закодовану адресу команди та контролю. Дослідники також задокументували зловживання службами каталогів macOS для перевірки пароля жертви в режимі реального часу, а також широкий спектр цільових браузерів і криптовалютних гаманців.

Захист

Netskope рекомендує користувачам macOS оновити до останніх версій macOS Tahoe 26.4 або macOS Sequoia, які вводять нативні попередження Terminal для вставлених команд. Користувачам слід уникати виконання команд, скопійованих з ненадійних веб-сайтів, ретельно перевіряти всі запити на облікові дані та ввімкнути багатофакторну аутентифікацію, де це можливо. Організаціям рекомендується стежити за підозрілими діалоговими вікнами на основі AppleScript та незвичним HTTP трафіком POST, спрямованим на незнайому інфраструктуру.

Відповідь

Захисники повинні виявляти та блокувати виконання невідомих файлів AppleScript і стежити за створенням /tmp/xdivcmp/ каталогу інсценування. Також слід налаштувати оповіщення для активності HTTP POST з систем macOS на незвичні домени чи IP-адреси. Повторювані діалогові вікна, що запитують системний пароль, слід вважати підозрілими, а уражені кінцеві точки слід негайно ізолювати для судової медичної експертизи.

"graph TB %% Class definitions classDef technique fill:#ffcc99 %% Node definitions t_phish["Technique – T1566 Phishing Description: Відправка шкідливих електронних листів, що містять команду копіювання-вставки для заманення жертви."] class t_phish technique t_userexec["Technique – T1204.004 User Execution: Шкідливе копіювання та вставка Description: Жертва копіює та вставляє шкідливу команду в сеанс терміналу."] class t_userexec technique t_unixshell["Technique – T1059.004 Command and Scripting Interpreter: Unix Shell Description: Виконання команд оболонки, що завантажують та запускають AppleScript."] class t_unixshell technique t_obfusc["Technique – T1027 Obfuscated Files or Information Description: Кодуйте команду оболонки, щоб приховати її шкідливі наміри."] class t_obfusc technique t_inputcap["Technique – T1056 Input Capture Description: Постійний діалоговий віконце AppleScript захоплює пароль користувача macOS."] class t_inputcap technique t_oscred["Technique – T1003 OS Credential Dumping Description: Використовуйте захоплений пароль для дешифрування зв’язки ключів macOS."] class t_oscred technique t_passmgr["Technique – T1555.005 Credentials from Password Stores: Password Managers Description: Витягніть збережені дані зі сховищ паролів, встановлених в менеджерах паролів."] class t_passmgr technique t_webbrowser["Technique – T1555.003 Credentials from Password Stores: Web Browsers Description: Викрадання збережених паролів і даних автозаповнення з магазинів браузерів."] class t_webbrowser technique t_webcookie["Technique – T1539 Steal Web Session Cookie Description: Збір файлів cookie сеансу з дванадцяти веб-браузерів."] class t_webcookie technique t_altauth["Technique – T1550.004 Використання альтернативних матеріалів аутентифікації: Файл cookie сеансу веб-сайта Description: Повторне використання викрадених файлів cookie для обходу багатофакторної аутентифікації."] class t_altauth technique t_browserdisc["Technique – T1217 Browser Information Discovery Description: Визначення каталогів профілів браузера на хост-системі."] class t_browserdisc technique t_staging["Technique – T1074.001 Data Staged: Local Data Staging Description: Агппорація зібраних даних у /tmp/xdivcmp."] class t_staging technique t_archive["Technique – T1560 Archive Collected Data Description: Стисніть зібрані дані у zip-файл за допомогою ditto."] class t_archive technique t_exfil["Technique – T1041 Exfiltration Over C2 Channel Description: Передача zip-архіву через HTTP POST на сервер командування та контролю."] class t_exfil technique t_filedel["Technique – T1070.004 Видалення індикаторів: Видалення файлів Description: Видалення каталогу інсценування після успішної ексфільтрації."] class t_filedel technique t_diskwipe["Technique – T1561 Очищення диска Description: Перезаписування секторів диска для видалення судових слідів."] class t_diskwipe technique %% Connections showing flow t_phish –>|leads_to| t_userexec t_userexec –>|leads_to| t_unixshell t_unixshell –>|uses| t_obfusc t_unixshell –>|uses| t_inputcap t_unixshell –>|uses| t_browserdisc t_inputcap –>|enables| t_oscred t_inputcap –>|enables| t_passmgr t_inputcap –>|enables| t_webbrowser t_inputcap –>|enables| t_webcookie t_webcookie –>|enables| t_altauth t_browserdisc –>|provides| t_staging t_staging –>|creates| t_archive t_archive –>|exfiltrates| t_exfil t_exfil –>|triggers| t_filedel t_filedel –>|triggers| t_diskwipe "

Потік атаки

Переглянути

Імітація виконання

Передумова: перевірка телеметрії та базових функцій повинна бути успішною.

Розповідь про атаку та команди:
1. Розвідка: Атака спочатку перераховує зв’язку ключів поточного користувача, щоб ідентифікувати збережені елементи.
2. Дамп облікових даних: Використовуючи security dump-keychain, зловмисник витягує всю базу даних зв’язки ключів у тимчасовий файл.
3. Інсценізація: Дамп копіюється в прихований каталог інсценізації /tmp/.xdivcmp/ (відповідає на шлях правила). /tmp/xdivcmp/ шляху).
4. Затемнення: Каталог інсценування позначено прихованим (chflags hidden).
5. Підготовка до ексфільтрації: Файли стискаються у payload.zip , готові до вихідної передачі.

Скрипт тесту на регресію:

#!/bin/bash
set -euo pipefail

# 1. Створення прихованого каталогу інсценування (відповідає на шлях правила)
STAGING_DIR="/tmp/.xdivcmp"
mkdir -p "$STAGING_DIR"
chflags hidden "$STAGING_DIR"

# 2. Дамп зв'язки ключів (вимагає взаємодії з користувачем; імітується копією бази даних)
KEYCHAIN_SRC="/Users/$(whoami)/Library/Keychains/login.keychain-db"
KEYCHAIN_DUMP="${STAGING_DIR}/login.keychain-db.dump"

# Імітація дампу, копією бази даних (справжній зловмисник використає `security dump-keychain`)
cp "$KEYCHAIN_SRC" "$KEYCHAIN_DUMP"

# 3. Стиск для ексфільтрації
zip -j "${STAGING_DIR}/payload.zip" "$KEYCHAIN_DUMP"

echo "[+] Імітація ClickFix завершено – артефакти інсценування розміщені в $STAGING_DIR"

Команди для очищення:

#!/bin/bash
set -euo pipefail

STAGING_DIR="/tmp/.xdivcmp"

if [[ -d "$STAGING_DIR" ]]; then
    rm -rf "$STAGING_DIR"
    echo "[+] Вичищено каталог інсценування."
else
    echo "[*] Не знайдено каталогу інсценування; нічого не потрібно чистити."
fi

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно