ClickFix macOS-Kampagne verteilt Infostealer
Zusammenfassung
Microsoft hat eine neue ClickFix-ähnliche Kampagne identifiziert, die macOS-Nutzer mit gefälschten Anleitungen zur Fehlerbehebung und Utility-Installationen auf Blogs und Content-Plattformen angreift. Statt Apps herunterzuladen, werden Opfer dazu verleitet, Terminal-Befehle auszuführen, die typische macOS-App-Prüfungen umgehen und Infostealer wie Macsync, SHub Stealer und AMOS bereitstellen.
Einleitung
Microsoft verfolgt eine sich weiterentwickelnde ClickFix-Kampagne, die nun macOS-Nutzer über gefälschte Inhalte zur Fehlerbehebung und fingierte Anleitungen zur Installation von Utilities angreift. Das ist relevant, weil der Angriff sich von klassischen App-Downloads wegbewegt und stattdessen Terminal-Befehle missbraucht, wodurch Angreifer einige der Schutzmechanismen umgehen, die Nutzer bei standardmäßigen macOS-Anwendungsinstallationen erwarten.
Was ist neu
Microsoft zufolge veröffentlichen Bedrohungsakteure gefälschte macOS-Ratschläge auf eigenständigen Websites, Medium, Craft und ähnlichen nutzergetriebenen Plattformen. Die Köder geben oft vor, bei häufigen Problemen wie dem Freigeben von Speicherplatz oder der Behebung von Systemfehlern zu helfen.
Wichtige Änderungen in dieser Kampagne sind:
- Nutzer werden angewiesen, Base64-codierte oder verschleierte Befehle in Terminal einzufügen
- Die Befehle laden entfernte Inhalte nach und starten skriptbasierte Loader
- Angreifer verwenden native Tools wie
curl,osascriptund Shell-Interpreter - Diese Methode umgeht die normalen Gatekeeper-ähnlichen Prüfungen, die auf in Finder geöffnete App-Bundles angewendet werden
- Beobachtete Payloads umfassen Macsync, SHub Stealer und AMOS
Microsoft identifizierte außerdem drei Ausführungspfade:
- Loader-Installationskampagne
- Skript-Installationskampagne
- Helper-Installationskampagne
Über diese Varianten hinweg bleibt das Ziel gleich: Zugangsdaten und sensible Dateien sammeln, Persistenz herstellen und Daten exfiltrieren.
Warum das für IT-Admins wichtig ist
Die Malware geht über einfachen Diebstahl von Zugangsdaten hinaus. Laut Microsoft können diese Infostealer Folgendes sammeln:
- Keychain-Einträge
- iCloud-Kontodaten
- Browser-Zugangsdaten
- Telegram-Daten
- Medien und Dokumente
- Daten von Cryptocurrency-Wallets
Einige Varianten ersetzen außerdem legitime Crypto-Wallet-Apps durch trojanisierte Versionen, was das Risiko finanziellen Diebstahls erhöht.
Für Security-Teams ist die größere Sorge die nutzergetriebene Ausführung. Weil das Opfer Befehle manuell in Terminal ausführt, verringern Angreifer ihre Abhängigkeit von schädlichen App-Paketen und erhöhen die Wahrscheinlichkeit einer erfolgreichen Kompromittierung.
Empfohlene Maßnahmen
Administratoren und Security-Teams sollten die folgenden Schritte ergreifen:
- Nutzer darauf hinweisen, keine Befehle aus Blogs, Foren oder Troubleshooting-Seiten in Terminal einzufügen
- Auf verdächtige Nutzung von
curl,osascript, Shell-Interpretern sowie auf unerwartete Erstellung von LaunchAgent oder LaunchDaemon achten - Staging-Pfade wie
/tmp/shub_<random ID>und ungewöhnliche Archiverstellung in/tmpuntersuchen - Erkennungen für Datenexfiltration, Credential Prompts und Persistenz im Zusammenhang mit gefälschten Update-Diensten überprüfen
- Schutz für Crypto-bezogene Apps und sensible Datenspeicher von Nutzern wie Keychain priorisieren
Fazit
Diese ClickFix macOS-Kampagne zeigt, wie sich Social Engineering weiterentwickelt, um traditionelle appbasierte Abwehrmechanismen zu umgehen. Für Defender sind Nutzeraufklärung, Endpoint Monitoring und die Erkennung verdächtiger Skriptausführung jetzt entscheidend, um diese Infostealer-Ketten zu stoppen, bevor Daten gestohlen werden.
Brauchen Sie Hilfe mit Security?
Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.
Mit einem Experten sprechenBleiben Sie über Microsoft-Technologien auf dem Laufenden