📰 Informação fresquinha chegando para você!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma nova campanha que entrega o malware Atomic Stealer a usuários do macOS abusa do Editor de Script em uma variação do ataque ClickFix que enganou os usuários para que executassem comandos no Terminal.
Editor de scripts é um aplicativo macOS integrado para escrever e executar scripts, principalmente AppleScript e JXA, que pode executar scripts locais e comandos shell. É um aplicativo confiável pré-instalado em sistemas macOS.
Embora esta não seja a primeira vez que foi abusado para entrega de malware, os pesquisadores observam que, no contexto da técnica de engenharia social ClickFix, não exige que a vítima interaja manualmente com o Terminal e execute comandos.
Além da variante baseada em Terminal ser amplamente divulgada, o macOS Tahoe 26.4 adicionou proteção contra ataques ClickFix na forma de um aviso ao tentar executar comandos.
Em uma nova campanha de distribuição do Atomic Stealer observada por pesquisadores de segurança da Jamf, os hackers têm como alvo as vítimas com sites falsos com temas da Apple que se apresentam como guias para ajudar a recuperar espaço em disco em seus computadores Mac.
Essas páginas contêm instruções de limpeza do sistema que parecem legítimas, mas usam o esquema de URL applescript:// para iniciar o Editor de Scripts com um código executável pré-preenchido.
Solicitação para abrir o Editor de Script pela página da web maliciosaFonte: Jamf
O código malicioso executa um ‘curl | Comando zsh’, que baixa e executa um script diretamente na memória do sistema.
Isso decodifica uma carga útil base64 + gzip, baixa um binário (/tmp/helper), remove atributos de segurança via ‘xattr -c’, torna-o executável e o executa.
A carga útil final é um binário Mach-O identificado como Atomic Stealer (AMOS), um malware como serviço comum que foi amplamente implantado em campanhas ClickFix usando várias iscas no ano passado.
O malware tem como alvo um amplo espectro de dados confidenciais, incluindo informações armazenadas nas extensões de chaveiro, desktop e carteira de criptomoeda do navegador, dados de preenchimento automático do navegador, senhas, cookies, cartões de crédito armazenados e informações do sistema.
No ano passado, o AMOS também adicionou um componente backdoor para dar aos operadores acesso persistente a sistemas comprometidos.
Os usuários de Mac devem tratar os prompts do Editor de Scripts como de alto risco e evitar executá-los em seus dispositivos, a menos que entendam totalmente o que fazem e confiem no recurso.
Para guias de solução de problemas do macOS, é recomendável confiar apenas na documentação oficial da Apple.
Comunidades de suporte da Apple, o fórum onde os clientes da Apple podem ajudar uns aos outros com conselhos, embora possa não ser isento de riscos.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
Editor de scripts é um aplicativo macOS integrado para escrever e executar scripts, principalmente AppleScript e JXA, que pode executar scripts locais e comandos shell. É um aplicativo confiável pré-instalado em sistemas macOS.
Embora esta não seja a primeira vez que foi abusado para entrega de malware, os pesquisadores observam que, no contexto da técnica de engenharia social ClickFix, não exige que a vítima interaja manualmente com o Terminal e execute comandos.
Além da variante baseada em Terminal ser amplamente divulgada, o macOS Tahoe 26.4 adicionou proteção contra ataques ClickFix na forma de um aviso ao tentar executar comandos.
Em uma nova campanha de distribuição do Atomic Stealer observada por pesquisadores de segurança da Jamf, os hackers têm como alvo as vítimas com sites falsos com temas da Apple que se apresentam como guias para ajudar a recuperar espaço em disco em seus computadores Mac.
Essas páginas contêm instruções de limpeza do sistema que parecem legítimas, mas usam o esquema de URL applescript:// para iniciar o Editor de Scripts com um código executável pré-preenchido.
Solicitação para abrir o Editor de Script pela página da web maliciosaFonte: Jamf
O código malicioso executa um ‘curl | Comando zsh’, que baixa e executa um script diretamente na memória do sistema.
Isso decodifica uma carga útil base64 + gzip, baixa um binário (/tmp/helper), remove atributos de segurança via ‘xattr -c’, torna-o executável e o executa.
A carga útil final é um binário Mach-O identificado como Atomic Stealer (AMOS), um malware como serviço comum que foi amplamente implantado em campanhas ClickFix usando várias iscas no ano passado.
O malware tem como alvo um amplo espectro de dados confidenciais, incluindo informações armazenadas nas extensões de chaveiro, desktop e carteira de criptomoeda do navegador, dados de preenchimento automático do navegador, senhas, cookies, cartões de crédito armazenados e informações do sistema.
No ano passado, o AMOS também adicionou um componente backdoor para dar aos operadores acesso persistente a sistemas comprometidos.
Os usuários de Mac devem tratar os prompts do Editor de Scripts como de alto risco e evitar executá-los em seus dispositivos, a menos que entendam totalmente o que fazem e confiem no recurso.
Para guias de solução de problemas do macOS, é recomendável confiar apenas na documentação oficial da Apple.
Comunidades de suporte da Apple, o fórum onde os clientes da Apple podem ajudar uns aos outros com conselhos, embora possa não ser isento de riscos.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
#samirnews #samir #news #boletimtec #nova #campanha #de #ladrão #do #macos #usa #o #script #editor #no #ataque #clickfix
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário