Microsoft и Apple остановили кибератаку, направленную на пользователей macOS, в рамках которой злоумышленники распространяли вирусы при помощи поддельных обновлений Zoom. В кампании, которую приписывают северокорейской группировке Sapphire Sleet, не использовались технические уязвимости — вместо этого злоумышленники полагались на методы социальной инженерии.
Схема выглядела следующим образом. Атакующие связывались с жертвами от имени рекрутеров, предлагали работу и после первичной беседы приглашали на онлайн-собеседование. А чтобы избежать перебоев в связи, «кандидату» предлагали обновить Zoom до последней версии, под видом которой отправляли файл Zoom SDK Update.scpt.
Этот файл представлял собой скрипт AppleScript, который при запуске загружал вирус, собиравший данные о системе: информацию об устройстве, учётной записи и установленном ПО, ключи macOS, данные браузеров и расширений, историю команд, SSH-ключи, заметки Apple, системные журналы, а также информацию из Telegram и криптовалютных кошельков.
Атаку обнаружили специалисты Microsoft Thread Intelligence и немедленно уведомили Apple. Компания усилила защиту macOS и браузера Safari, а Microsoft, в свою очередь, обновила Defender, добавив механизмы обнаружения активности Sapphire Sleet.
Точный масштаб атаки не установлен, однако эксперты считают, что она была нацелена на ограниченный круг пользователей. Об этом свидетельствует способ распространения через «собеседования» и интерес к данным криптовалютных кошельков. Кроме того, атака была ориентирована исключительно на устройства с macOS, что также указывает на то, что цели были выбраны не случайно.
ссылка на оригинал статьи https://habr.com/ru/articles/1026076/