ClickFix macOS-kampagne spreder infostealers

Introduktion

Microsoft overvåger en ClickFix-kampagne under udvikling, som nu målretter sig mod macOS-brugere via falsk fejlfindingsindhold og vildledende instruktioner til installation af utilities. Det er vigtigt, fordi angrebet bevæger sig væk fra traditionelle app-downloads og i stedet misbruger Terminal-kommandoer, hvilket hjælper angribere med at undgå nogle af de beskyttelser, brugere forventer ved almindelige macOS-applikationsinstallationer.

Hvad er nyt

Microsoft oplyser, at trusselsaktører poster falske macOS-råd på selvstændige websites, Medium, Craft og lignende brugerdrevne platforme. Lokkemidlerne hævder ofte at hjælpe med almindelige problemer som at frigøre diskplads eller løse systemfejl.

Vigtige ændringer i denne kampagne omfatter:

• Brugere bliver instrueret i at indsætte Base64-kodede eller obfuskerede kommandoer i Terminal
• Kommandoerne henter eksternt indhold og starter script-baserede loaders
• Angribere bruger indbyggede værktøjer som curl, osascript og shell-fortolkere
• Denne metode undgår de normale Gatekeeper-lignende kontroller, der anvendes på app bundles åbnet i Finder
• Observerede payloads omfatter Macsync, SHub Stealer og AMOS

Microsoft identificerede også tre eksekveringsveje:

• Loader install campaign
• Script install campaign
• Helper install campaign

På tværs af disse varianter er målet det samme: at indsamle legitimationsoplysninger og følsomme filer, etablere persistens og eksfiltrere data.

Hvorfor det er vigtigt for IT-administratorer

Malwaren går videre end simpelt tyveri af legitimationsoplysninger. Ifølge Microsoft kan disse infostealers indsamle:

• Keychain-poster
• iCloud-kontodata
• Browser-legitimationsoplysninger
• Telegram-data
• Medier og dokumenter
• Data fra cryptocurrency wallets

Nogle varianter erstatter også legitime crypto wallet-apps med trojaniserede versioner, hvilket øger risikoen for økonomisk tyveri.

For sikkerhedsteams er den større bekymring brugerudført eksekvering. Fordi offeret manuelt kører kommandoer i Terminal, reducerer angribere afhængigheden af ondsindede app-pakker og øger sandsynligheden for et vellykket kompromittering.

Anbefalede handlinger

Administratorer og sikkerhedsteams bør tage følgende skridt:

• Uddan brugere i ikke at indsætte kommandoer i Terminal fra blogs, fora eller fejlfindingssider
• Overvåg mistænkelig brug af curl, osascript, shell-fortolkere og uventet oprettelse af LaunchAgent eller LaunchDaemon
• Undersøg staging-stier som /tmp/shub_<random ID> og usædvanlig oprettelse af arkiver i /tmp
• Gennemgå detektioner for dataeksfiltration, prompts om legitimationsoplysninger og persistens knyttet til falske opdateringstjenester
• Prioritér beskyttelse af crypto-relaterede apps og følsomme brugerdata-lagre som Keychain

Konklusion

Denne ClickFix macOS-kampagne viser, hvordan social engineering tilpasser sig for at omgå traditionelle app-baserede forsvar. For forsvarere er brugerbevidsthed, endpoint-overvågning og detektion af mistænkelig script-eksekvering nu afgørende for at stoppe disse infostealer-kæder, før data bliver stjålet.