Nicolai Busekist
Hackere udnytter en ny metode i macOS til at installere infostealer-malware via Script Editor.
En ny type malware målrettet Mac-computere kan stjæle følsomme brugerdata som adgangskoder og kryptovaluta. Det advarer sikkerhedsforskere fra Jamf Threat Labs om, skriver TechRadar.
Ifølge forskerne anvender hackerne en opdateret version af det såkaldte ClickFix-angreb, der tidligere forsøgte at narre brugere til at kopiere og indsætte kommandoer direkte i macOS’ Terminal.
Den metode er dog blevet sværere at udnytte, efter at Apple med macOS 26.4 har indført en funktion, der scanner indsatte kommandoer, før de bliver kørt.
Det har fået hackerne til at ændre strategi, så i stedet forsøger de nu at få brugere til at åbne macOS-programmet Script Editor via et særligt link.
Script Editor er et indbygget værktøj i macOS, der bruges til at skrive og køre automatiserede scripts i blandt andet AppleScript og JavaScript. Programmet kan normalt hjælpe brugere med at køre en række automatisere opgaver på deres computer.
Men nu bliver funktionen desværre udnyttet til at installere skadelig software.
Forskerne forklarer, at hackerne lokker brugerne ind på en hjemmeside, hvor de bliver tilbudt at ‘frigøre diskplads’ på deres Mac. Her bliver brugeren bedt om at trykke på en ‘Execute’-knap.
Knappen aktiverer et særligt link, der åbner Script Editor med et færdigt script klar til at blive kørt.
“Script Editor har en velkendt historie som leveringsmekanisme for malware, så det er ikke overraskende at se det her,” skriver forskerne.
De understreger dog, at metoden i dette tilfælde er usædvanlig, da programmet bliver startet via et link.
Når scriptet køres, installeres en malware af typen Atomic Stealer, der er i stand til at stjæle data fra browsere, adgangskoder og oplysninger fra kryptovaluta-wallets.
Ifølge forskerne reducerer metoden behovet for direkte handlinger fra brugerne og gør angrebet lettere at gennemføre for hackerne.
