Security

ClickFix macOS kampanja isporučuje infostealere

3 min čitanja

Sažetak

Microsoft je identifikovao novu ClickFix kampanju u stilu ClickFix koja cilja macOS korisnike lažnim uputstvima za rešavanje problema i instalaciju alata, objavljenim na blogovima i platformama za sadržaj. Umesto preuzimanja aplikacija, žrtve se navode da pokrenu Terminal komande koje zaobilaze uobičajene macOS provere aplikacija i isporučuju infostealere kao što su Macsync, SHub Stealer i AMOS.

Trebate pomoć sa Security?Razgovarajte sa stručnjakom

Uvod

Microsoft prati ClickFix kampanju u razvoju koja sada cilja macOS korisnike putem lažnog sadržaja za rešavanje problema i lažnih uputstava za instalaciju alata. Ovo je važno jer se napad udaljava od tradicionalnog preuzimanja aplikacija i umesto toga zloupotrebljava Terminal komande, pomažući napadačima da izbegnu deo zaštita koje korisnici očekuju od standardnih instalacija macOS aplikacija.

Šta je novo

Microsoft navodi da akteri pretnji objavljuju lažne savete za macOS na samostalnim veb-sajtovima, Medium-u, Craft-u i sličnim platformama koje pokreću korisnici. Mamci često tvrde da pomažu kod uobičajenih problema, kao što su oslobađanje prostora na disku ili rešavanje sistemskih problema.

Ključne promene u ovoj kampanji uključuju:

  • Korisnicima se daje uputstvo da nalepe Base64-kodirane ili obfuskovane komande u Terminal
  • Komande preuzimaju udaljeni sadržaj i pokreću loadere zasnovane na skriptama
  • Napadači koriste izvorne alate kao što su curl, osascript i shell interpreteri
  • Ovaj metod izbegava uobičajene provere u stilu Gatekeeper-a koje se primenjuju na app bundle-ove otvorene u Finder-u
  • Uočeni payload-ovi uključuju Macsync, SHub Stealer i AMOS

Microsoft je takođe identifikovao tri putanje izvršavanja:

  • Loader install campaign
  • Script install campaign
  • Helper install campaign

Kroz ove varijante, cilj je dosledan: prikupljanje akreditiva i osetljivih fajlova, uspostavljanje postojanosti i eksfiltracija podataka.

Zašto je ovo važno za IT administratore

Malver prevazilazi jednostavnu krađu akreditiva. Prema Microsoft-u, ovi infostealeri mogu da prikupljaju:

  • Keychain stavke
  • iCloud nalog podatke
  • Browser akreditive
  • Telegram podatke
  • Medijske fajlove i dokumenta
  • Podatke iz cryptocurrency wallet-a

Neke varijante takođe zamenjuju legitimne crypto wallet aplikacije trojanizovanim verzijama, čime se povećava rizik od finansijske krađe.

Za bezbednosne timove, veća briga je izvršavanje koje pokreće korisnik. Pošto žrtva ručno pokreće komande u Terminal-u, napadači smanjuju zavisnost od zlonamernih paketa aplikacija i povećavaju šansu za uspešnu kompromitaciju.

Preporučene mere

Administratori i bezbednosni timovi treba da preduzmu sledeće korake:

  • Edukujte korisnike da ne lepe komande u Terminal sa blogova, foruma ili stranica za rešavanje problema
  • Nadgledajte sumnjivu upotrebu curl, osascript, shell interpretera i neočekivano kreiranje LaunchAgent ili LaunchDaemon stavki
  • Istražite staging putanje kao što je /tmp/shub_<random ID> i neuobičajeno kreiranje arhiva u /tmp
  • Pregledajte detekcije za eksfiltraciju podataka, prompt-ove za akreditive i postojanost povezanu sa lažnim update servisima
  • Dajte prioritet zaštiti aplikacija povezanih sa crypto-om i osetljivih skladišta korisničkih podataka kao što je Keychain

Suština

Ova ClickFix macOS kampanja pokazuje kako se social engineering prilagođava da zaobiđe tradicionalne odbrane zasnovane na aplikacijama. Za branioce su svest korisnika, endpoint monitoring i detekcija sumnjivog izvršavanja skripti sada ključni za zaustavljanje ovih lanaca infostealera pre nego što podaci budu ukradeni.

Trebate pomoć sa Security?

Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.

Razgovarajte sa stručnjakom

Budite u toku sa Microsoft tehnologijama

Pročitajte originalni članak od Microsoft Defender Security Research Team
macOS securityClickFixinfostealerMicrosoft Defendermalware

Povezani članci

Security

AiTM phishing kampanja cilja Microsoft 365 korisnike

Microsoft je opisao phishing kampanju velikih razmera tipa adversary-in-the-middle (AiTM) koja je koristila lažne istrage o kodeksu ponašanja za krađu tokena za autentifikaciju. Napad je kombinovao uverljiv social engineering, postepene CAPTCHA stranice i legitimni Microsoft tok prijave, naglašavajući zašto su zaštite otporne na phishing i jača bezbednost e-pošte važne.

Security

CVE-2026-31431 Linux ranjivost objašnjena

Microsoft je objavio detalje o CVE-2026-31431, Linux local privilege escalation ranjivosti visokog nivoa ozbiljnosti koja može omogućiti root pristup na glavnim distribucijama i cloud-hosted workload-ima. Problem je važan jer pogađa okruženja sa deljenim kernelom, kao što su kontejneri i Kubernetes, čime se povećava rizik od container escape, lateral movement i kompromitacije hosta ako se sistemi brzo ne zakrpe.

Security

Microsoft Agent 365 GA donosi AI bezbednosne kontrole

Microsoft Agent 365 je sada opšte dostupan za komercijalne korisnike, pružajući IT i bezbednosnim timovima objedinjenu kontrolnu ravan za nadzor, upravljanje i zaštitu AI agenata u okviru Microsoft 365, endpoint uređaja i cloud okruženja. Nove preview mogućnosti dodatno proširuju vidljivost na shadow AI, lokalne Windows agente, multicloud platformske agente i kontrole zasnovane na smernicama kroz Defender i Intune.

Security

Email pretnje Q1 2026: ključni Microsoft uvidi

Microsoft navodi da je u Q1 2026 otkriveno 8,3 milijarde phishing email poruka, dok se QR code phishing više nego udvostručio, a CAPTCHA-gated kampanje brzo evoluiraju. Ovi nalazi su važni za bezbednosne timove jer se napadači sve više okreću krađi kredencijala putem linkova, dok akcije protiv Tycoon2FA pokazuju da koordinisano ometanje može smanjiti uticaj phishinga.

Security

{{Microsoft Security novosti za Agent 365 i Defender}}

Microsoft je najavio nove bezbednosne mogućnosti u okviru Agent 365, Defender for Cloud, GitHub Advanced Security i Microsoft Purview. Ažuriranja su usmerena na bolju vidljivost aktivnosti AI agenata, jačanje zaštite od koda do runtime okruženja i ubrzavanje istraga bezbednosti podataka za bezbednosne i IT timove.

Security

CISO revizije rizika: 8 Microsoft bezbednosnih praksi

Microsoft je objavio praktičan okvir za CISO-e i bezbednosne lidere kako bi sprovodili efikasnije revizije rizika usred porasta sajber pretnji omogućenih AI-jem. Smernice su fokusirane na osam oblasti pregleda — od sredstava i aplikacija do autentifikacije, autorizacije i izolacije mreže — kako bi organizacijama pomogle da pređu sa reaktivnog odgovora na proaktivno smanjenje rizika.