Microsoft та Apple знешкодили небезпечну схему викрадення даних користувачів macOS

Компанія Microsoft спільно з Apple виявили та заблокували складну кіберкампанію, спрямовану на користувачів macOS. 

 

Як повідомляє видання Neowin, за атакою стоїть північнокорейське державне угруповання Sapphire Sleet. Зловмисники використовували методи соціальної інженерії, створюючи фальшиві профілі рекрутерів на професійних платформах. Вони залучали потенційних жертв до обговорення вакансій і надсилали запрошення на технічні співбесіди, під час яких просили кандидатів установити шкідливий файл.

 

Атака активувалася через AppleScript під назвою Zoom SDK Update.scpt, який передавався безпосередньо під час онлайн-зустрічі. На перший погляд файл здавався офіційним оновленням, проте глибоко всередині коду був прихований шкідливий алгоритм. Після запуску скрипт завантажував додаткове програмне забезпечення, яке запускало підробний додаток System Update. Ця програма імітувала системне вікно macOS, вимагаючи від користувача введення пароля, який після перевірки негайно передавався хакерам через Telegram Bot API.

 

Отримавши доступ, Sapphire Sleet проводило повну розвідку системи та викрадало конфіденційну інформацію. Серед даних, що потрапляли до рук хакерів, були дані браузерів, сесії месенджера Telegram, ключі SSH, історія командної оболонки та вміст Apple Notes. Особливу увагу зловмисники приділяли десктопним криптовалютним гаманцям та зв’язці ключів macOS Keychain. Для підтримки ілюзії безпеки шкідливе ПЗ демонструвало фінальне вікно про успішне оновлення програмного забезпечення, одночасно встановлюючи бекдори для довготривалого доступу.

 

Після отримання інформації від Microsoft фахівці Apple посилили захисну інфраструктуру macOS та браузера Safari. Зі свого боку Microsoft оновила антивірус Defender для виявлення загроз, пов’язаних із діяльністю Sapphire Sleet. Точна кількість постраждалих залишається невідомою, проте експерти зазначають, що кампанія була націлена на високовартісні цілі, зокрема професіоналів, які працюють із криптовалютами та мають доступ до критичної ІТ-інфраструктури.