Sajber kriminalci ciljaju Mac korisnike koji su zainteresovani za mogućnosti kriptovaluta lažnim pozivnicama u kalendaru. Tokom napada, kriminalci će poslati vezu navodno za dodavanje sastanka u kalendar mete. U stvarnosti, veza pokreće skriptu za instaliranje Mac malvera na ciljnu mašinu.
Stručnjak za kibernetičku sigurnost Brian Krebs istražio je i označio problem.
Prevaranti, lažni ulagači u kriptovalute, aktivni su na Telegram kanalima kako bi privukli zainteresovane ljude da prisustvuju sastanku o budućem partnerstvu.
Jedan od tih investitora po imenu Signum Capital tvitovao je upozorenje na X-u u januaru da se jedan od članova njihovog tima lažno predstavlja na Telegramu i da šalje pozive direktnom porukom (DM).
Kriminalci dopiru do meta putem DM-a na Telegramu i pitaju ih da li imaju interesa da čuju više o prilici u pozivu ili sastanku. Ako pokažu interesovanje, biće im poslat izmišljeni poziv za sastanak. Kada dođe vrijeme da se pridružite sastanku, link za pozivnicu ne radi. Prevaranti govore žrtvi da je to poznat problem, uzrokovan regionalnim ograničenjem pristupa, što se može riješiti pokretanjem skripte.
Zamolili smo Malwarebytes direktora i rezidentnog Apple stručnjaka Thomasa Reeda da pogleda ovu metodu. Ovo nije prvi put da kriminalci koriste skripte da kompromituju korisnike, rekao nam je.
„AppleScript je korišćen protiv korisnika Mac-a sa umjerenom učestalošću od strane kreatora malvera tokom godina. Ima prednost što je vrlo jednostavan za pisanje, a ako se kompajlira, izuzetno ga je teško izvesti obrnutim inženjeringom.”
Prema Reedu, AppleScripts se može ponuditi u nekoliko različitih oblika. Jedna je jednostavna .scptdatoteka koja se otvara u Apple-ovoj aplikaciji Script Editor. Ovo ima nekoliko nedostataka za kriminalce: žrtva bi morala kliknuti na nešto unutar Script Editor-a da bi pokrenula skriptu i mogla bi vidjeti kod, što bi mogao biti problem jer AppleScript ima tendenciju da bude čitljiviji od većine drugih skripti. Međutim, postoje načini da se zamagli šta kod radi, a mnogi korisnici se ionako neće potruditi da ga pročitaju.
Druga opcija je AppleScript aplet. Ovo je nešto što djeluje kao normalna Mac aplikacija. Sadrži osnovnu izvršnu datoteku AppleScript i skriptu za pokretanje. U ovom obliku, skripta može biti potpisana kodom, ovjerena, dati joj se ikona i na drugi način učiniti da izgleda vjerodostojnije. Kod bi mogao biti prilično blag, i malo je vjerovatno da će pokrenuti bilo kakvu detekciju iz Appleovog procesa ovjere, ali bi mogao preuzeti i izvršiti nešto manje pouzdano.
Skripte imaju još jednu prednost za kriminalce, upozorio je Reed.
“AppleScripts također imaju prednost u tome što mogu vrlo lako dobiti administratorske dozvole.”
Skripta koja pokušava da pokrene komandu sa administratorskim privilegijama tražiće od korisnika da se autentifikuju, pokrećući dijalog lozinke.
Ako korisnik unese svoju lozinku, skripta je zapravo ne vidi, ali sve ostalo što skripta pokuša da uradi “sa administratorskim privilegijama” će se uspešno pokrenuti kao root bez dalje autentifikacije. Ovo olakšava skripti da prikaže standardni dijalog zahtjeva za provjeru autentičnosti i prevari korisnika da da root dozvole.
„Dakle, ukratko, AppleScript može biti prilično efikasan za pisanje malvera. Zapravo, pojedini malveri su napisan isključivo – ili gotovo isključivo – u AppleScript-u, kao što su OSX.DubRobber ili OSX.OSAMiner.”
U ovom slučaju, skripta je bila jednostavna Apple Script koja je preuzela i izvršila macOS orijentiran trojanac. Priroda trojanca je nepoznata, ali sigurno nikoga neće iznenaditi ako se ispostavi da je riječ o bankarskom trojancu koji je specijaliziran za krađu kriptovaluta.
Prepoznavanje prevare
Kako ne biste postali žrtva ovih prevaranata, dobro je znati nekoliko njihovih taktika.
- Ciljevima se prilazi putem DM-a na Telegramu.
- Teme su mogućnosti ulaganja u kriptovalute.
- Prevaranti preferiraju Calendly platformu za planiranje.
- Lažno „regionalno ograničenje pristupa“ stvara osjećaj hitnosti u posljednjem trenutku.
- Skripta je imala
.scptekstenziju (Apple skripta). - Skripta je bila hostovana na domeni koja se pretvarala da je stranica za podršku sastancima.
Izvor: Malwarebytes
