Собеседование с трояном: macOS-пользователей атакуют через фальшивые Zoom-обновления

21.04.2026

Microsoft описала кампанию северокорейской группы Sapphire Sleet против пользователей macOS. Атака строится не на уязвимости в системе, а на социальной инженерии: жертве предлагают пройти собеседование или созвон, после чего под видом обновления Zoom присылают файл Zoom SDK Update.scpt. Это скомпилированный AppleScript, который по умолчанию открывается в Script Editor и выглядит как обычная инструкция по обновлению.

Внутри файла вредоносная логика спрятана под большим блоком комментариев и тысячами пустых строк. После открытия скрипт сначала запускает легитимный softwareupdate с некорректным параметром, чтобы усилить впечатление подлинности, а затем через curl загружает следующий этап с инфраструктуры атакующих и сразу передает его в osascript. Такой каскадный запуск переводит исполнение в user-initiated контекст и помогает обходить часть встроенных защит macOS, включая Gatekeeper, quarantine enforcement и ряд проверок notarization.

Дальше цепочка переходит к сбору данных и краже учетных данных. Microsoft пишет, что поздний этап атаки использует AppleScript для вывода поддельных системных окон ввода пароля. После валидации введенный пароль немедленно отправляется злоумышленникам через Telegram Bot API. В публикации также говорится о закреплении через launch daemons, манипуляциях с базой TCC и последующей эксфильтрации чувствительных данных. Основные цели кампании - криптовалютный, финансовый и блокчейн-секторы.

После раскрытия деталей Apple внедрила обновления, которые должны помогать обнаруживать и блокировать связанную с этой кампанией инфраструктуру и вредоносные компоненты. Для защиты Microsoft рекомендует отслеживать цепочки curl -> osascript, запуск подозрительных .scpt-файлов и нетипичное создание persistence-механизмов на macOS.