Rozmowa o pracę może przejąć twojego Maca. Microsoft alarmuje

Użytkownicy komputerów Apple coraz częściej słyszą, że macOS należy do najbezpieczniejszych systemów na rynku. Najnowsze ustalenia Microsoftu pokazują jednak, że nawet ostrożność i nowoczesne zabezpieczenia mogą nie wystarczyć, gdy cyberprzestępcy wykorzystują wyjątkowo przekonującą manipulację.

Specjaliści z Microsoft Threat Intelligence opisali nową kampanię wymierzoną w właścicieli komputerów Mac. Atakujący podszywali się pod rekruterów, zapraszali ofiary na rozmowy kwalifikacyjne online, a następnie przejmowali hasła, dane osobiste oraz dostęp do portfeli kryptowalutowych.

Cały scenariusz wyglądał jak zwykła rozmowa rekrutacyjna.

Atak zaczynał się od oferty pracy

Według opisu opublikowanego przez Microsoft cyberprzestępcy tworzyli profesjonalnie wyglądające profile osób zajmujących się rekrutacją. Kontaktowali się z potencjalnymi ofiarami przez internet, przedstawiali atrakcyjne oferty zatrudnienia i proponowali szybkie spotkanie online.

Rozmowa miała odbywać się przez Zoom. Podczas połączenia kandydat otrzymywał informację, że musi zainstalować aktualizację klienta, aby poprawnie dołączyć do spotkania. Przesyłany plik nosił nazwę sugerującą oficjalny komponent platformy.

Na ekranie wszystko wyglądało wiarygodnie. Dla wielu osób nie było żadnego sygnału ostrzegawczego.

Fałszywa aktualizacja przejmowała kontrolę

Plik otwierał się jako skrypt systemowy w macOS. Na pierwszy rzut oka wyglądał jak standardowy plik techniczny. Dopiero głęboko w kodzie ukryty był złośliwy fragment uruchamiający kolejne etapy ataku.

Po zatwierdzeniu przez użytkownika system pobierał dodatkowe komponenty. Następnie uruchamiała się aplikacja podszywająca się pod systemowe narzędzie aktualizacji. Okno proszące o hasło administratora było niemal identyczne z oryginalnym komunikatem macOS.

Ofiara wpisywała hasło, przekonana, że wykonuje rutynową operację. W rzeczywistości dane logowania trafiały bezpośrednio do napastników.

Cyberprzestępcy szukali czegoś więcej niż haseł

Po uzyskaniu dostępu złośliwe oprogramowanie rozpoczynało dokładne przeszukiwanie komputera. Microsoft wskazuje, że atakujący interesowali się nie tylko loginami do systemu.

Malware sprawdzało zapisane dane przeglądarek, historię sesji komunikatorów, zawartość pęku kluczy macOS, zapisane klucze SSH oraz notatki użytkownika. Szczególną uwagę poświęcano aplikacjom służącym do przechowywania kryptowalut.

Kampania nie była przypadkowa. Jej celem były osoby posiadające cenne informacje albo cyfrowe aktywa.

Apple i Microsoft zareagowali wspólnie

Po wykryciu kampanii Microsoft przekazał szczegóły firmie Apple. Producent iPhone'ów i komputerów Mac miał szybko wzmocnić mechanizmy ochronne w systemie macOS oraz przeglądarce Safari. Równolegle Microsoft zaktualizował własne systemy zabezpieczeń Defender, aby identyfikowały nowe zagrożenie i blokowały kolejne próby infekcji.

Eksperci zwracają uwagę, że ten atak jest wyjątkowo niebezpieczny z jednego powodu. Nie wykorzystuje klasycznej luki technicznej. Bazuje na zaufaniu, pośpiechu i naturalnym stresie towarzyszącym rozmowie o pracę. Osoba skupiona na spotkaniu z potencjalnym pracodawcą znacznie rzadziej analizuje każdy komunikat systemu. To właśnie ten moment przestępcy wykorzystali najlepiej. Tym razem celem byli użytkownicy komputerów Apple, ale sam mechanizm może zostać powielony także wobec innych platform.