Security

Kampania ClickFix macOS dostarcza infostealery

3 min czytania

Podsumowanie

Microsoft zidentyfikował nową kampanię w stylu ClickFix wymierzoną w użytkowników macOS, wykorzystującą fałszywe instrukcje rozwiązywania problemów i instalacji narzędzi publikowane na blogach oraz platformach z treściami. Zamiast pobierania aplikacji ofiary są nakłaniane do uruchamiania poleceń w Terminal, które omijają typowe kontrole aplikacji w macOS i wdrażają infostealery, takie jak Macsync, SHub Stealer i AMOS.

Potrzebujesz pomocy z Security?Porozmawiaj z ekspertem

Wprowadzenie

Microsoft śledzi rozwijającą się kampanię ClickFix, która teraz atakuje użytkowników macOS za pomocą fałszywych treści dotyczących rozwiązywania problemów oraz fikcyjnych instrukcji instalacji narzędzi. To istotne, ponieważ atak odchodzi od tradycyjnego pobierania aplikacji i zamiast tego wykorzystuje polecenia Terminal, pomagając atakującym ominąć część zabezpieczeń, których użytkownicy oczekują przy standardowej instalacji aplikacji w macOS.

Co nowego

Microsoft informuje, że cyberprzestępcy publikują fałszywe porady dotyczące macOS na niezależnych stronach internetowych, Medium, Craft i podobnych platformach tworzonych przez użytkowników. Przynęty często twierdzą, że pomagają w typowych problemach, takich jak zwalnianie miejsca na dysku lub naprawa problemów systemowych.

Kluczowe zmiany w tej kampanii obejmują:

  • Użytkownicy są instruowani, aby wkleić do Terminal polecenia zakodowane w Base64 lub zaciemnione
  • Polecenia pobierają zdalną zawartość i uruchamiają loadery oparte na skryptach
  • Atakujący używają natywnych narzędzi, takich jak curl, osascript i interpretery powłoki
  • Ta metoda omija standardowe kontrole w stylu Gatekeeper stosowane do pakietów aplikacji otwieranych w Finder
  • Zaobserwowane payloady obejmują Macsync, SHub Stealer i AMOS

Microsoft zidentyfikował również trzy ścieżki wykonania:

  • Kampania instalacji loadera
  • Kampania instalacji skryptu
  • Kampania instalacji helpera

We wszystkich tych wariantach cel pozostaje taki sam: zbieranie poświadczeń i wrażliwych plików, ustanowienie trwałości oraz eksfiltracja danych.

Dlaczego to ważne dla administratorów IT

To złośliwe oprogramowanie wykracza poza prostą kradzież poświadczeń. Według Microsoft te infostealery mogą zbierać:

  • Wpisy Keychain
  • Dane konta iCloud
  • Poświadczenia przeglądarek
  • Dane Telegram
  • Multimedia i dokumenty
  • Dane portfeli kryptowalutowych

Niektóre warianty zastępują także legalne aplikacje portfeli kryptowalutowych ich ztrojanizowanymi wersjami, zwiększając ryzyko kradzieży finansowej.

Dla zespołów bezpieczeństwa większym problemem jest wykonanie inicjowane przez użytkownika. Ponieważ ofiara ręcznie uruchamia polecenia w Terminal, atakujący ograniczają zależność od złośliwych pakietów aplikacji i zwiększają szansę na skuteczne przejęcie systemu.

Zalecane działania

Administratorzy i zespoły bezpieczeństwa powinni podjąć następujące kroki:

  • Edukować użytkowników, aby nie wklejali poleceń do Terminal z blogów, forów ani stron z poradami
  • Monitorować podejrzane użycie curl, osascript, interpreterów powłoki oraz nieoczekiwane tworzenie LaunchAgent lub LaunchDaemon
  • Badać ścieżki etapowania, takie jak /tmp/shub_<random ID>, oraz nietypowe tworzenie archiwów w /tmp
  • Przeglądać wykrycia związane z eksfiltracją danych, monitami o poświadczenia i trwałością powiązaną z fałszywymi usługami aktualizacji
  • Nadać priorytet ochronie aplikacji związanych z kryptowalutami oraz wrażliwych magazynów danych użytkownika, takich jak Keychain

Podsumowanie

Ta kampania ClickFix dla macOS pokazuje, jak socjotechnika dostosowuje się, aby omijać tradycyjne mechanizmy obrony oparte na aplikacjach. Dla obrońców kluczowe są teraz świadomość użytkowników, monitorowanie endpointów oraz wykrywanie podejrzanego wykonywania skryptów, aby zatrzymać te łańcuchy infostealerów, zanim dojdzie do kradzieży danych.

Potrzebujesz pomocy z Security?

Nasi eksperci pomogą Ci wdrożyć i zoptymalizować rozwiązania Microsoft.

Porozmawiaj z ekspertem

Bądź na bieżąco z technologiami Microsoft

Przeczytaj oryginalny artykuł autorstwa Microsoft Defender Security Research Team
macOS securityClickFixinfostealerMicrosoft Defendermalware

Powiązane artykuły

Security

Kampania phishingowa AiTM atakuje użytkowników Microsoft 365

Microsoft opisał zakrojoną na szeroką skalę kampanię phishingową adversary-in-the-middle (AiTM), która wykorzystywała fałszywe dochodzenia dotyczące kodeksu postępowania do kradzieży tokenów uwierzytelniania. Atak łączył dopracowaną inżynierię społeczną, etapowe strony CAPTCHA oraz legalny przepływ logowania Microsoft, pokazując, dlaczego ochrona odporna na phishing i silniejsze zabezpieczenia poczty są tak ważne.

Security

CVE-2026-31431 w Linux: zagrożenie root

Microsoft opisał CVE-2026-31431, lukę Linux o wysokiej wadze, umożliwiającą lokalne podniesienie uprawnień do root w głównych dystrybucjach i obciążeniach hostowanych w chmurze. Problem jest istotny, ponieważ wpływa na środowiska współdzielące kernel, takie jak kontenery i Kubernetes, zwiększając ryzyko ucieczki z kontenera, ruchu lateralnego i przejęcia hosta, jeśli systemy nie zostaną szybko załatane.

Security

Microsoft Agent 365 GA z kontrolą AI i zabezpieczeniami

Microsoft Agent 365 jest już ogólnie dostępny dla klientów komercyjnych, zapewniając zespołom IT i bezpieczeństwa ujednoliconą płaszczyznę kontroli do obserwowania, zarządzania i zabezpieczania agentów AI w środowiskach Microsoft 365, na endpointach i w chmurze. Nowe funkcje w public preview rozszerzają także widoczność o shadow AI, lokalnych agentów Windows, wielochmurowe platformy agentów oraz mechanizmy kontroli oparte na zasadach przez Defender i Intune.

Security

Krajobraz zagrożeń email Q1 2026: Microsoft

Microsoft informuje o wykryciu 8,3 miliarda phishingowych wiadomości email w Q1 2026, przy ponad dwukrotnym wzroście phishingu z użyciem kodów QR i szybko ewoluujących kampaniach z CAPTCHA. Te ustalenia są ważne dla zespołów bezpieczeństwa, ponieważ atakujący coraz częściej stawiają na kradzież poświadczeń opartą na linkach, a działania zakłócające przeciwko Tycoon2FA pokazują, że skoordynowane akcje mogą ograniczyć skutki phishingu.

Security

Aktualizacje Microsoft Security dla Agent 365

Microsoft ogłosił nowe funkcje zabezpieczeń w usługach Agent 365, Defender for Cloud, GitHub Advanced Security i Microsoft Purview. Aktualizacje koncentrują się na poprawie widoczności aktywności agentów AI, wzmocnieniu ochrony od kodu do środowiska uruchomieniowego oraz przyspieszeniu dochodzeń związanych z bezpieczeństwem danych dla zespołów IT i security.

Security

{{Przeglądy ryzyka CISO: 8 praktyk Microsoft}}

{{Microsoft opublikował praktyczne ramy dla CISO i liderów bezpieczeństwa, które pomagają prowadzić skuteczniejsze przeglądy ryzyka w obliczu rosnących cyberzagrożeń wspieranych przez AI. Wskazówki koncentrują się na ośmiu obszarach przeglądu — od zasobów i aplikacji po uwierzytelnianie, autoryzację i izolację sieci — aby pomóc organizacjom przejść od reaktywnej odpowiedzi do proaktywnej redukcji ryzyka.}}