Apple @ Work é oferecido exclusivamente a você pela Mosyle, a única plataforma unificada da Apple. Mosyle é a única solução que integra em uma única plataforma de nível profissional todas as soluções necessárias para implantar, gerenciar e proteger de forma contínua e automática dispositivos Apple no trabalho. Mais de 45.000 organizações confiam na Mosyle para preparar milhões de dispositivos Apple para funcionar sem esforço e a um custo acessível. Solicite hoje mesmo seu TESTE ESTENDIDO e entenda porque o Mosyle é tudo que você precisa para trabalhar com a Apple.
Embora o macOS seja inerentemente seguro por design, os hackers/golpistas dependem cada vez mais da engenharia social para contornar as proteções nativas. Um novo relatório publicado pelo Netskope Threat Labs detalha uma nova e altamente sofisticada campanha macOS ClickFix. Este ataque engana as pessoas para que implementem um ladrão de informações baseado em AppleScript e um trojan de acesso remoto persistente.
Sobre Apple@Work: Bradley Chambers é administrador de TI da Apple desde 2009. Através de sua experiência na implantação e gerenciamento de firewalls, switches, um sistema de gerenciamento de dispositivos móveis, WiFi de nível empresarial, milhares de Macs e milhares de iPads, Bradley destacará maneiras pelas quais os gerentes de TI da Apple implantam dispositivos Apple, constroem redes para apoiá-los, treinam usuários, compartilham histórias das trincheiras do gerenciamento de TI e maneiras pelas quais a Apple poderia melhorar seus produtos para departamentos de TI.

Uma cadeia de infecção sem arquivo
A nova campanha macOS ClickFix depende de uma estrutura clássica de engenharia social. Os usuários são direcionados para sites comprometidos ou controlados por invasores que imitam serviços legítimos (é por isso que serviços como o BrandShield estão se tornando obrigatórios). A Netskope encontrou páginas falsas de utilitários de otimização do macOS, repositórios falsos do GitHub e até páginas localizadas de suporte de TI. Esses sites instruem os usuários finais a copiar e colar manualmente um comando específico no Terminal macOS.

Quando a vítima clica no botão copiar no site falso, o JavaScript malicioso coloca silenciosamente a sequência de execução na área de transferência. A execução deste comando no Terminal obtém um script que é executado inteiramente na memória. Essa abordagem sem arquivo não deixa migalhas na unidade local, permitindo que o carregador inicial evite facilmente as verificações de malware padrão.
Depois que a carga secundária estiver em execução, ela exibirá uma caixa de diálogo falsa de Preferências do sistema Mac que solicita ao usuário final sua senha de login do macOS para atualizar as configurações. Se o usuário digitar a senha, o malware a usará para desbloquear as chaves do macOS e começará a extrair senhas salvas, cookies de sessão e dados de aplicativos de mensagens.
Além disso, o comportamento ainda pior é como ele lida com carteiras criptográficas de desktop. O malware tem como alvo 25 carteiras de desktop diferentes. Ele mata ativamente o aplicativo legítimo em execução, substitui o pacote principal do aplicativo por uma versão trojanizada e força uma assinatura de código ad hoc. Isso restaura uma assinatura estruturalmente válida, permitindo que o aplicativo recém-modificado seja iniciado sem acionar avisos do macOS Gatekeeper. Se você tiver quaisquer participações substanciais de qualquer criptografia, não use carteiras de assinatura única por motivos como este.
Para estabelecer acesso de longo prazo, a carga instala um arquivo de configuração em segundo plano disfarçado como um processo de conta do sistema Apple chamado com.apple.accountsd. Este processo pesquisa o servidor de comando e controle a cada minuto. Isso permite que o invasor mantenha um loop de beacon constante e execute remotamente código arbitrário no Mac infectado a qualquer momento.
A opinião de 9to5Mac
Esta campanha é uma ilustração perfeita de até onde pode chegar uma carga útil do macOS puramente com script. Os invasores não estão usando vulnerabilidades de dia zero ou explorações complexas de kernel. Eles estão simplesmente usando o conjunto de ferramentas nativo do macOS contra o usuário.
Para os departamentos de TI, isso destaca a necessidade crítica de treinamento contínuo em segurança. Os usuários devem ser ensinados a nunca colar comandos desconhecidos no Terminal, não importa quão legítimo o site pareça ser. Você poderia argumentar que bloquear o acesso ao Terminal em Macs corporativos pode se tornar o padrão para muitas funções.
Apple @ Work é oferecido exclusivamente a você pela Mosyle, a única plataforma unificada da Apple. Mosyle é a única solução que integra em uma única plataforma de nível profissional todas as soluções necessárias para implantar, gerenciar e proteger de forma contínua e automática dispositivos Apple no trabalho. Mais de 45.000 organizações confiam na Mosyle para preparar milhões de dispositivos Apple para funcionar sem esforço e a um custo acessível. Solicite hoje mesmo seu TESTE ESTENDIDO e entenda porque o Mosyle é tudo que você precisa para trabalhar com a Apple.


FTC: Usamos links de afiliados automotivos para geração de renda. Mais.