Security

Кампания ClickFix для macOS распространяет стилеры

3 мин. чтения

Кратко

Microsoft выявила новую кампанию в стиле ClickFix, нацеленную на пользователей macOS с помощью поддельных инструкций по устранению неполадок и установке утилит, размещённых в блогах и на контент-платформах. Вместо загрузки приложений жертв обманом заставляют выполнять команды в Terminal, которые обходят типичные проверки macOS и разворачивают стилеры, такие как Macsync, SHub Stealer и AMOS.

Нужна помощь с Security?Поговорить с экспертом

Введение

Microsoft отслеживает развивающуюся кампанию ClickFix, которая теперь нацелена на пользователей macOS через поддельный контент по устранению неполадок и фиктивные инструкции по установке утилит. Это важно, потому что атака уходит от традиционной загрузки приложений и вместо этого злоупотребляет командами Terminal, помогая злоумышленникам обходить часть защит, на которые пользователи рассчитывают при стандартной установке приложений в macOS.

Что нового

По данным Microsoft, злоумышленники публикуют фальшивые советы для macOS на отдельных сайтах, Medium, Craft и аналогичных пользовательских платформах. Приманки часто обещают помочь с распространёнными проблемами, например освобождением места на диске или исправлением системных сбоев.

Ключевые изменения в этой кампании включают:

  • Пользователям предлагают вставить в Terminal команды в Base64 или обфусцированные команды
  • Эти команды получают удалённый контент и запускают загрузчики на основе скриптов
  • Злоумышленники используют нативные инструменты, такие как curl, osascript и интерпретаторы shell
  • Этот метод позволяет обойти обычные проверки в стиле Gatekeeper, применяемые к пакетам приложений, открываемым в Finder
  • Среди замеченных полезных нагрузок — Macsync, SHub Stealer и AMOS

Microsoft также выделила три пути выполнения:

  • Кампания с установкой loader
  • Кампания с установкой script
  • Кампания с установкой helper

Во всех этих вариантах цель одинакова: собрать учётные данные и конфиденциальные файлы, закрепиться в системе и вывести данные.

Почему это важно для IT-администраторов

Вредоносное ПО выходит далеко за рамки простой кражи учётных данных. По данным Microsoft, эти стилеры могут собирать:

  • записи Keychain
  • данные учётной записи iCloud
  • учётные данные браузеров
  • данные Telegram
  • медиафайлы и документы
  • данные криптовалютных кошельков

Некоторые варианты также подменяют легитимные приложения криптокошельков троянизированными версиями, повышая риск финансовой кражи.

Для команд безопасности более серьёзная проблема — выполнение действий самим пользователем. Поскольку жертва вручную запускает команды в Terminal, злоумышленники меньше зависят от вредоносных пакетов приложений и повышают вероятность успешного компрометации.

Рекомендуемые действия

Администраторам и командам безопасности следует предпринять следующие шаги:

  • Обучать пользователей не вставлять команды в Terminal из блогов, форумов или страниц с инструкциями по устранению неполадок
  • Отслеживать подозрительное использование curl, osascript, интерпретаторов shell, а также неожиданное создание LaunchAgent или LaunchDaemon
  • Проверять промежуточные пути, такие как /tmp/shub_<random ID>, и необычное создание архивов в /tmp
  • Анализировать срабатывания, связанные с выводом данных, запросами учётных данных и механизмами закрепления, привязанными к поддельным службам обновления
  • Приоритизировать защиту приложений, связанных с криптовалютой, и хранилищ чувствительных пользовательских данных, таких как Keychain

Главное

Эта кампания ClickFix для macOS показывает, как социальная инженерия адаптируется для обхода традиционных защит, основанных на приложениях. Для защитников осведомлённость пользователей, мониторинг конечных точек и выявление подозрительного выполнения скриптов теперь критически важны, чтобы остановить эти цепочки стилеров до кражи данных.

Нужна помощь с Security?

Наши эксперты помогут вам внедрить и оптимизировать решения Microsoft.

Поговорить с экспертом

Будьте в курсе технологий Microsoft

Читать оригинальную статью от Microsoft Defender Security Research Team
macOS securityClickFixinfostealerMicrosoft Defendermalware

Похожие статьи

Security

AiTM-фишинговая кампания против Microsoft 365

Microsoft раскрыла детали масштабной adversary-in-the-middle (AiTM) фишинговой кампании, в которой использовались поддельные расследования нарушений кодекса поведения для кражи токенов аутентификации. Атака сочетала продуманную социальную инженерию, многоэтапные CAPTCHA-страницы и легитимный процесс входа Microsoft, показывая, почему важны защиты, устойчивые к фишингу, и более сильная защита электронной почты.

Security

CVE-2026-31431 в Linux: угроза повышения root

Microsoft опубликовала подробности о CVE-2026-31431 — опасной уязвимости локального повышения привилегий в Linux, которая может предоставить доступ root в основных дистрибутивах и облачных workloads. Проблема особенно важна, поскольку затрагивает среды с общим kernel, такие как containers и Kubernetes, повышая риск выхода из container, lateral movement и компрометации host при отсутствии оперативного патчинга.

Security

Microsoft Agent 365 GA: безопасность и AI-контроль

Microsoft Agent 365 теперь общедоступен для коммерческих клиентов, предоставляя IT- и security-командам единую плоскость управления для наблюдения, контроля и защиты AI-агентов в Microsoft 365, на endpoints и в облачных средах. Новые возможности в preview также расширяют видимость для shadow AI, локальных Windows-агентов, мультиоблачных платформ агентов и политик управления через Defender и Intune.

Security

Ландшафт email-угроз Q1 2026: ключевые данные Microsoft

Microsoft сообщает об обнаружении 8,3 млрд фишинговых писем в Q1 2026: число атак с QR-кодами более чем удвоилось, а кампании с CAPTCHA быстро эволюционируют. Эти выводы важны для команд безопасности, поскольку злоумышленники смещаются к краже учетных данных через ссылки, а меры против Tycoon2FA показывают, что скоординированные действия могут снизить влияние фишинга.

Security

Обновления Microsoft Security: Agent 365 и Defender

Microsoft анонсировала новые возможности безопасности для Agent 365, Defender for Cloud, GitHub Advanced Security и Microsoft Purview. Обновления направлены на повышение прозрачности активности AI agents, усиление защиты от кода до runtime и ускорение расследований по безопасности данных для команд безопасности и IT.

Security

Лучшие практики CISO risk reviews: 8 советов

Microsoft опубликовала практическую методику, которая помогает CISO и руководителям по безопасности проводить более эффективные обзоры рисков на фоне роста киберугроз с использованием AI. Рекомендации охватывают восемь областей — от активов и приложений до аутентификации, авторизации и сетевой изоляции — чтобы помочь организациям перейти от реактивного реагирования к проактивному снижению рисков.