Eine neue Kampagne für macOS-Nutzer hat sich erneut auf eine Social Engineering-Technik konzentriert, die eine Systemvertrauen-Anwendung ausnutzt: das Editor Script. Sicherheitsforscher haben beobachtet, dass Angreifer Webseiten mit legitimem Aussehen verwenden - in der Regel Anleitungen zum Freigeben von Speicherplatz oder zur Verbesserung der Mac-Performance -, um den Browser zu öffnen, spezielle Links, die Script Editor mit Code bereits eingefügt. Das Ergebnis: der Benutzer sieht ein Fenster einer scheinbar harmlosen nativen App, aber dahinter ist die Ausführung von Befehlen, die Malware herunterladen und veröffentlichen, ohne durch ein explizites Terminal gehen.
Script Editor ist ein vorinstalliertes Tool in macOS entworfen, um AppleScript und JXA zu erstellen und auszuführen und genießt daher die Privilegien und das Vertrauen des Systems. Dieses Vertrauen ist genau das, was Angreifer nutzen: anstatt den Benutzer zu bitten, Zeilen in Terminal zu kopieren und einzufügen - die klassische Taktik namens ClickFix - jetzt wird das AppleScript URL-Schema verwendet, um Editor Script mit einem bösartigen Skript bereits geladen zu öffnen. Wenn Sie die Öffnung akzeptieren, kann der Code eine ovale Kette "curl-124; zsh" ausführen, die Skripte direkt im Speicher herunterlädt und läuft, komprimierte Nutzlasten entkoppelt, temporäre Binaries schreibt, Sicherheitsattribute mit xattr eliminiert und das endgültige ausführbar macht.
In dieser speziellen Kampagne die Forscher Ja Sie identifizierten als letzte Nutzlast eine Mach-O binäre bekannt als Atomic Stealer (auch als AMOS bezeichnet), eine Malware von-the-shell, die in ClickFix-Kampagnen im vergangenen Jahr wiederholt erschienen. Atomic Stealer wurde entwickelt, um sensible Informationen aus dem System zu extrahieren: im lavero gespeicherte Daten (Keychain), Desktop-Inhalte, Kryptomoneda Geldbörse Erweiterungen im Browser, selbst abgeschlossen, Passwörter, Cookies, gespeicherte Karten und andere Systeminformationen. In den letzten Berichten wird auch darauf hingewiesen, dass die Betreiber Back-Tür-Komponenten hinzugefügt haben, um den dauerhaften Zugang zu bestimmten Geräten zu erhalten.
Die Feinheit der aktuellen Variation ist, dass der Benutzer nicht unbedingt mit Terminal interagieren muss, um die Angriffsarbeit zu machen: Script Editor kann durch seine Natur als Ausführungsvektor dienen, wenn er mit Code von einer URL versorgt wird. So versuchen einige Maßnahmen von Apple in den letzten Versionen von macOS, diese Wahnvorstellungen zu stoppen, indem sie Warnungen zeigen, wenn sie versuchen, Befehle von Terminal oder verwandten Anwendungen auszuführen; obwohl diese Schutzhilfen helfen, sie nicht vollständig beseitigen das Risiko, wenn das Opfer erteilt Erlaubnis oder bestätigt die Öffnung eines Skripts durch die Nutzung auf den Inhalt der Seite.
Wenn Sie einen Online-Systemwartungsführer erhalten, der Sie dazu einlädt, einen Befehl auszuführen oder ein Skript zu öffnen, behandeln sie mit Verdacht. Malicious Seiten imitieren oft die Ästhetik und Sprache der legitimen Hilfe Ressourcen, um die Wache zu senken: Apple-Ikonographie, Screenshots und scheinbar vernünftige Schritte. Die allgemeine Empfehlung ist, nur auf offizielle Dokumentation für Systemprobleme zu gehen; die Apple-Support-Seite auf Script Editor kann Ihnen helfen, den tatsächlichen Zweck dieses Tools zu verstehen: Unterstützung.apple.com - Script Editor. Für Nutzer-zu-Benutzer-Beratungen und -Lösungen existiert auch die offizielle Apple-Community, obwohl daran erinnert werden sollte, dass Foren nicht risikofrei sind: Unterstützungsgemeinschaften.
In Unternehmens- und Management-Umgebungen reduziert die Nutzung von Endpoints Management- und Schutzlösungen die Wahrscheinlichkeit von Infektionen und erleichtert die Erkennung von anormalen Verhaltensweisen; für Inlandsnutzer ist die Aufrechterhaltung des Systems aktuell und misstrauisch "schnelle Tricks" zur Wiederherstellung von Raum oder Geschwindigkeit Ausrüstung die effektivste Verteidigung. Darüber hinaus sollten Sie, wenn Sie vermuten, dass Ihr Team beeinträchtigt wurde, es von Netzwerken trennen, Prozesse mit Activity Monitor überprüfen und die Unterstützung von Fachleuten oder Sicherheitstools für forensische Analyse und Reinigung anfordern.
Die Wiederverwendung legitimer Anwendungen durch Angreifer ist keine Neuheit, sondern eine Erinnerung daran, dass sich die Angriffsfläche mit der Kreativität von Cyberkriminellen ändert. Behandeln Sie Script Editor als potenziell gefährlich und überprüfen Sie den Ursprung jeder technischen Anleitung Es ist jetzt die praktischste Lösung, nicht in diese Fallen zu fallen.
Um Informationen darüber zu erweitern, wie Apple und die Sicherheitsgemeinschaft auf diese ClickFix-Varianten und Kampagnen mit Info-Stealern reagieren, können aktuelle Forschungs- und Nachrichtenberichte konsultiert werden; eine Berichterstattung, die Apples Einführung von Warnungen synthetisiert, kann in BlepingComputer, und die technische Analyse der Kampagne mit Atomic Stealer wurde veröffentlicht von Ja.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...