Security

ClickFix macOS-campagne verspreidt infostealers

3 min leestijd

Samenvatting

Microsoft heeft een nieuwe ClickFix-achtige campagne geïdentificeerd die macOS-gebruikers aanvalt met nep-instructies voor probleemoplossing en hulpprogramma’s op blogs en contentplatforms. In plaats van apps te downloaden, worden slachtoffers misleid om Terminal-opdrachten uit te voeren die de gebruikelijke macOS-appcontroles omzeilen en infostealers zoals Macsync, SHub Stealer en AMOS installeren.

Hulp nodig met Security?Praat met een expert

Inleiding

Microsoft volgt een evoluerende ClickFix-campagne die nu macOS-gebruikers aanvalt via valse content voor probleemoplossing en nep-instructies voor het installeren van hulpprogramma’s. Dit is belangrijk omdat de aanval verschuift van traditionele app-downloads naar misbruik van Terminal-opdrachten, waardoor aanvallers sommige beveiligingen kunnen omzeilen die gebruikers verwachten bij standaard macOS-appinstallaties.

Wat is er nieuw

Microsoft meldt dat dreigingsactoren valse macOS-adviezen plaatsen op zelfstandige websites, Medium, Craft en vergelijkbare door gebruikers gedreven platforms. De lokmiddelen beweren vaak te helpen bij veelvoorkomende problemen, zoals schijfruimte vrijmaken of systeemproblemen oplossen.

Belangrijke veranderingen in deze campagne zijn onder meer:

  • Gebruikers krijgen de instructie om Base64-gecodeerde of versluierde opdrachten in Terminal te plakken
  • De opdrachten halen externe content op en starten scriptgebaseerde loaders
  • Aanvallers gebruiken native tools zoals curl, osascript en shell-interpreters
  • Deze methode vermijdt de normale Gatekeeper-achtige controles die worden toegepast op appbundels die in Finder worden geopend
  • Waargenomen payloads zijn onder meer Macsync, SHub Stealer en AMOS

Microsoft identificeerde ook drie uitvoeringspaden:

  • Loader-installatiecampagne
  • Script-installatiecampagne
  • Helper-installatiecampagne

In al deze varianten is het doel consistent: referenties en gevoelige bestanden verzamelen, persistentie opzetten en data exfiltreren.

Waarom dit belangrijk is voor IT-beheerders

De malware gaat verder dan eenvoudige diefstal van referenties. Volgens Microsoft kunnen deze infostealers het volgende verzamelen:

  • Keychain-items
  • iCloud-accountgegevens
  • Browserreferenties
  • Telegram-gegevens
  • Media en documenten
  • Gegevens van cryptocurrency-wallets

Sommige varianten vervangen ook legitieme crypto-walletapps door getrojaniseerde versies, wat het risico op financiële diefstal vergroot.

Voor securityteams is de grotere zorg uitvoering door de gebruiker zelf. Omdat het slachtoffer handmatig opdrachten uitvoert in Terminal, zijn aanvallers minder afhankelijk van kwaadaardige app-pakketten en neemt de kans op een succesvolle compromittering toe.

Aanbevolen acties

Beheerders en securityteams moeten de volgende stappen nemen:

  • Leer gebruikers om geen opdrachten in Terminal te plakken vanaf blogs, forums of pagina’s voor probleemoplossing
  • Monitor op verdacht gebruik van curl, osascript, shell-interpreters en onverwachte creatie van LaunchAgent- of LaunchDaemon-items
  • Onderzoek stagingpaden zoals /tmp/shub_<random ID> en ongebruikelijke archiefcreatie in /tmp
  • Controleer detecties op data-exfiltratie, prompts voor referenties en persistentie gekoppeld aan valse updateservices
  • Geef prioriteit aan bescherming van crypto-gerelateerde apps en gevoelige gebruikersdatastores zoals Keychain

Conclusie

Deze ClickFix macOS-campagne laat zien hoe social engineering zich aanpast om traditionele app-gebaseerde verdedigingen te omzeilen. Voor defenders zijn gebruikersbewustzijn, endpointmonitoring en detectie van verdachte scriptuitvoering nu cruciaal om deze infostealer-ketens te stoppen voordat data wordt gestolen.

Hulp nodig met Security?

Onze experts helpen u bij het implementeren en optimaliseren van uw Microsoft-oplossingen.

Praat met een expert

Blijf op de hoogte van Microsoft-technologieën

Lees het originele artikel van Microsoft Defender Security Research Team
macOS securityClickFixinfostealerMicrosoft Defendermalware

Gerelateerde artikelen

Security

AiTM-phishingcampagne treft Microsoft 365-gebruikers

Microsoft heeft details gedeeld over een grootschalige adversary-in-the-middle (AiTM)-phishingcampagne die nep-onderzoeken naar gedragscodes gebruikte om authenticatietokens te stelen. De aanval combineerde geraffineerde social engineering, gefaseerde CAPTCHA-pagina’s en een legitieme Microsoft-aanmeldingsflow, en onderstreept waarom phishingbestendige beveiliging en sterkere e-mailverdediging belangrijk zijn.

Security

CVE-2026-31431 Linux-dreiging uitgelegd

Microsoft heeft details gedeeld over CVE-2026-31431, een ernstig Linux-lek voor lokale privilege-escalatie dat root-toegang kan geven op grote distributies en cloudgehoste workloads. Dit is belangrijk omdat het gedeelde-kernelomgevingen zoals containers en Kubernetes treft, waardoor het risico op container escape, laterale beweging en hostcompromittering toeneemt als systemen niet snel worden gepatcht.

Security

Microsoft Agent 365 GA: beveiliging en AI-beheer

Microsoft Agent 365 is nu algemeen beschikbaar voor commerciële klanten en biedt IT- en beveiligingsteams een uniforme control plane om AI-agents in Microsoft 365, endpoints en cloudomgevingen te observeren, beheren en beveiligen. Nieuwe previewmogelijkheden breiden de zichtbaarheid ook uit naar shadow AI, lokale Windows-agents, multicloud agentplatforms en beleidsgebaseerde controles via Defender en Intune.

Security

E-maildreigingslandschap Q1 2026: Microsoft-inzichten

Microsoft meldt 8,3 miljard gedetecteerde phishingmails in Q1 2026, waarbij QR-codephishing meer dan verdubbelde en CAPTCHA-afgeschermde campagnes zich snel ontwikkelden. De bevindingen zijn relevant voor securityteams omdat aanvallers verschuiven naar linkgebaseerde diefstal van inloggegevens, terwijl verstoringsacties tegen Tycoon2FA laten zien dat gecoördineerd optreden de impact van phishing kan verminderen.

Security

Microsoft Security-updates voor Agent 365 en Defender

Microsoft heeft nieuwe beveiligingsmogelijkheden aangekondigd voor Agent 365, Defender for Cloud, GitHub Advanced Security en Microsoft Purview. De updates richten zich op betere zichtbaarheid in AI-agentactiviteit, sterkere bescherming van code tot runtime en snellere dataonderzoeken voor security- en IT-teams.

Security

CISO-risicobeoordelingen: 8 Microsoft best practices

Microsoft heeft een praktisch framework gepubliceerd waarmee CISOs en securityleiders effectievere risicobeoordelingen kunnen uitvoeren te midden van toenemende AI-gestuurde cyberdreigingen. De richtlijnen richten zich op acht beoordelingsgebieden — van assets en applicaties tot authenticatie, autorisatie en netwerkisolatie — om organisaties te helpen verschuiven van reactieve respons naar proactieve risicoreductie.