Kampanye malware ClickFix menargetkan pengguna Mac yang mencari bantuan

Penyerang memposting panduan pemecahan masalah macOS palsu di Medium, Craft, dan Squarespace. Tujuannya adalah agar pengguna menjalankan perintah Terminal yang menginstal malware yang menargetkan data iCloud, kata sandi yang disimpan, dan dompet kripto.

Tim Penelitian Keamanan Defender Microsoft merilis temuan tersebut. Kampanye ini telah berlangsung sejak akhir 2025. Mereka menargetkan pengguna Mac yang mencari bantuan untuk masalah umum seperti membersihkan ruang disk atau memperbaiki kesalahan sistem.

Alih-alih menawarkan solusi yang sah, halaman-halaman tersebut memberitahu pengguna untuk menyalin perintah dan menempelkannya ke Terminal. Perintah itu mengunduh dan menjalankan malware.

Posting blog yang menyesatkan tersebut memberitahu pembaca untuk menyalin perintah berbahaya dan menempelkannya ke Terminal. Perintah ini mengunduh malware dan menjalankannya di komputer korban.

Teknik ini disebut ClickFix. Ini adalah rekayasa sosial yang mengalihkan tanggung jawab peluncuran payload ke korban. Karena pengguna menjalankan perintah langsung di Terminal, Gatekeeper macOS tidak pernah memeriksa payload tersebut.

Gatekeeper biasanya memeriksa penandatanganan kode dan notarization pada paket aplikasi yang dibuka melalui Finder, tetapi metode ini menghindarinya sama sekali.

Penyerang meluncurkan tiga kampanye dengan tujuan yang sama

Microsoft menemukan tiga installer kampanye:

Seorang loader.

Sebuah skrip.

Seorang helper.

Ketiganya mengumpulkan data sensitif, membangun persistensi, dan mengekstrak informasi yang dicuri ke server penyerang.

Keluarga malware tersebut meliputi AMOS, Macsync, dan SHub Stealer. Jika salah satu dari ketiga malware terinstal, mereka akan menargetkan data akun iCloud dan Telegram. Kemudian mencari dokumen dan foto pribadi di bawah 2 MB. Dan mengekstrak kunci dompet kripto dari Exodus, Ledger, dan Trezor, serta mencuri username dan password yang disimpan dari Chrome dan Firefox.

Setelah terinstal, malware menampilkan dialog palsu dan meminta password sistem untuk menginstal “alat helper.” Jika pengguna memasukkan password, penyerang mendapatkan akses penuh ke file dan pengaturan sistem.

Dalam beberapa kasus, peneliti menemukan bahwa penyerang menghapus aplikasi dompet kripto yang sah dan menggantinya dengan versi trojan yang dirancang untuk memantau transaksi dan mencuri dana.

Trezor Suite, Ledger Wallet, dan Exodus adalah beberapa aplikasi utama yang menjadi target dalam serangan ini.

Kampanye loader juga menyertakan switch mati. Malware akan berhenti berjalan jika mendeteksi tata letak keyboard Rusia.

Peneliti keamanan mengamati penyerang menggunakan curl, osascript, dan utilitas macOS asli lainnya untuk menjalankan payload langsung di memori. Ini adalah pendekatan tanpa file yang membuat deteksi lebih sulit bagi alat antivirus standar.

Penyerang menargetkan pengembang kripto

Peneliti keamanan dari ANY[.]RUN menemukan operasi Grup Lazarus yang disebut “Mach-O Man.” Peretas menggunakan teknik ClickFix yang sama melalui undangan rapat palsu. Mereka menargetkan mesin fintech dan kripto di mana macOS umum digunakan.

Cryptopolitan mempublikasikan tentang kampanye PromptMink.

Sebuah paket npm berbahaya dimasukkan ke dalam proyek perdagangan kripto oleh kelompok Korea Utara, Chollima Terkenal, melalui perubahan yang dihasilkan AI. Dengan pendekatan paket dua lapis, malware mendapatkan akses ke data dompet dan rahasia sistem.

Kedua kampanye menunjukkan bahwa data dompet kripto sangat berharga. Penyerang menyesuaikan metode pengiriman mereka dari posting blog palsu hingga kompromi rantai pasokan berbantuan AI untuk mencapainya.

Jika Anda membaca ini, Anda sudah selangkah lebih maju. Tetaplah di sana dengan newsletter kami.