Цепочка заражения начинается с того, что пользователи скачивают и запускают взломанные приложения с ненадежных веб-сайтов. Во время установки вредоносное ПО помещается в папку /Applications/, маскируясь под активатор для взломанного приложения. Обманчивое окно активатора просит пользователей ввести пароль администратора, что позволяет вредоносному ПО запустить исполняемый файл ‘tool’ с использованием функции ‘AuthorizationExecuteWithPrivileges’. Затем вредоносное ПО проверяет наличие Python 3 на системе и устанавливает его при необходимости, создавая видимость обычного обновления приложения.
После этого вредоносное ПО связывается с сервером управления и контроля (C2) на домене “apple-health[.]org”. Злоумышленники используют новый метод для связи с сервером C2, демонстрируя эволюцию тактик киберпреступников в проникновении в системы безопасности macOS.
Source: Medium
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.