macOS面临AppleScript文件武器化的日益严重威胁

“最近，由于AppleScript文件，macOS面临着大量的网络威胁。”

随着犯罪分子重新利用先前主要由国家资助的行为者使用的AppleScript文件，安全研究人员正在提醒我们注意macOS网络威胁中一个微妙但重大的变化。这种方法已经在商品化恶意软件操作中扩散，使得隐蔽感染成为可能，给苹果的内置防御检测带来了新的困难。

曾经APT使用的方法进入犯罪主流

据监测macOS威胁活动的研究人员称，带有.scpt扩展名的AppleScript文件，先前被认为是一种专门的渗透向量，现在出现在越来越多的商品化恶意软件家族中。这种先前与针对苹果系统的高级持续性威胁组织相关的技术，正被用于分发恶意软件安装程序、伪造软件更新和冒充合法文档的凭据窃取程序。

像MacSync和Odyssey Stealer这样的家族已开始将有效负载打包到编译的AppleScript文件中。这些文件通常以看似Zoom或Microsoft Teams更新提示的形式提供。

这一变化发生在苹果于2024年8月取消了先前使得可以绕过Gatekeeper的“右键单击并打开”变通方法之后。据分析师称，威胁行为者正在试验新的用户交互渠道，以在不引发典型权限问题的情况下启动程序。

过去，许多macOS病毒通过伪造的Homebrew安装程序或旨在诱骗用户使用Terminal的磁盘映像（DMG）文件传播。攻击者现在正在将.scpt文件武器化，以在更兼容macOS脚本环境且看起来不那么可疑的格式中复制类似的社会工程压力点。

隐藏命令和伪装文档

将.scpt恶意软件捆绑到看起来像常规办公文档的文件中是最近样本中发现的最成功策略之一。研究人员发现了欺诈性更新脚本，包括Zoom_SDK_Update.scpt、MSTeamsUpdate.scpt和InstallSoftZone.scpt，以及带有Apeiron_Token_Transfer_Proposal.docx.scpt和Stable1_Investment_Proposal.pptx.scpt名称的陷阱副本。

在Finder中打开时，许多这些文件看起来与实际Word、PowerPoint或安装包相同，因为它们使用了直接集成到资源分支中的独特图标。

当它们被打开时，macOS会自动在Script Editor中打开它们，在冗长的空白区域上显示几行看似无害的注释。通过将实际的有效负载代码推到窗口下方（通常看不见），制造了一种安全感。

之后，受害者被敦促按Command-R或单击“运行”，以为他们正在启用文档预览或更新过程。然而，这些脚本会静默执行诸如perform shell script或远程curl查询之类的命令，使攻击者能够启动隐藏安装程序或检索辅助有效负载。

为了复杂化静态分析和在Windows计算机上更普遍的PowerShell恶意软件中使用的规避策略，一些副本甚至传播额外的有害DMG，例如888.scpt，而其他副本则将有效负载字符串拆分到多个AppleScript变量中。

macOS用户面临检测漏洞

研究人员声称，尽管基于.scpt的交付方法的使用日益增加，但防病毒检测并不均衡。上传到VirusTotal的几个实时样本显示零检测，这证明典型的安全工具难以识别编译的AppleScript代码和混淆技术。

威胁行为者现在能够由于这些限制而更积极地进行试验。此外，分析师还注意到了通常与高度发达的恶意软件生态系统相关的跨平台行为特征，例如模块化有效负载获取、隐蔽的shell命令执行和分阶段交付。

安全团队强调需要密切关注由Script Editor启动的进程，并报告macOS端点上任何异常的网络活动或与Terminal相关的异常。指示在Script Editor内使用.docx、.pptx或.scpt扩展名的事件日志应立即被视为警告信号。

新的防御技术，但威胁在演变

为了减少意外执行的可能性，研究人员建议了一些缓解措施，首先是將.scpt和.applescript文件的默认处理程序切换到非可执行编辑器，如TextEdit。

此外，公司正在创建独特的端点检测规则，用于识别编译的AppleScript事件代码，如“sysoexec”，这些代码通常与shell脚本执行相关。

分析师声称，社会工程和脚本滥用的结合是更大的问题。随着macOS威胁行为者使用企业级策略，例如嵌入式有效负载、图标欺骗和Terminal规避，认为苹果系统较少被针对的传统观念正在受到侵蚀。

目前，研究人员正在加紧努力以跟上日益复杂的恶意软件形势，在这种形势下，常见的文档图标可能隐藏着迄今为止在macOS攻击中发现的一些最隐蔽的成功策略。