Кампания вредоносного ПО ClickFix нацелена на пользователей Mac, ищущих помощь

Злоумышленники публикуют поддельные руководства по устранению проблем macOS на Medium, Craft и Squarespace. Цель — заставить пользователей выполнять команды в Терминале, которые устанавливают вредоносное ПО, нацеленное на данные iCloud, сохранённые пароли и криптовалютные кошельки.

Команда по исследованию безопасности Microsoft Defender опубликовала результаты. Кампания ведется с конца 2025 года. Она нацелена на пользователей Mac, ищущих помощь с распространёнными проблемами, такими как освобождение места на диске или исправление системных ошибок.

Вместо того чтобы предлагать легитимное решение, страницы советуют скопировать команду и вставить её в Терминал. Эта команда скачивает и запускает вредоносное ПО.

Обманные блоги советуют читателям скопировать вредоносную команду и вставить её в Терминал. Эта команда загружает и запускает вредоносное ПО на компьютере жертвы.

Техника называется ClickFix. Это социальная инженерия, которая перекладывает ответственность за запуск вредоносного кода на жертву. Поскольку пользователь запускает команду напрямую в Терминале, Gatekeeper macOS никогда не проверяет содержимое.

Обычно Gatekeeper проверяет подпись кода и нотарификацию приложений, открываемых через Finder, но этот метод полностью его обходит.

Злоумышленники запустили три кампании с одинаковой целью

Microsoft обнаружила три установщика кампаний:

Загрузчик.

Скрипт.

Помощник.

Все три собирают конфиденциальные данные, создают постоянство и передают украденную информацию на серверы злоумышленников.

Семейства вредоносного ПО включают AMOS, Macsync и SHub Stealer. Если установлено хотя бы одно из трёх вредоносных программ, оно нацелено на данные iCloud и Telegram. Затем ищет личные документы и фотографии менее 2 МБ. И извлекает ключи криптовалютных кошельков из Exodus, Ledger и Trezor, а также крадет сохранённые имена пользователей и пароли из Chrome и Firefox.

После установки вредоносное ПО выводит фальшивое диалоговое окно и запрашивает системный пароль для установки «помощника». Если пользователь вводит пароль, злоумышленник получает полный доступ к файлам и настройкам системы.

В некоторых случаях исследователи обнаружили, что злоумышленники удаляли легитимные приложения криптовалютных кошельков и заменяли их троянскими версиями, предназначенными для мониторинга транзакций и кражи средств.

Trezor Suite, Ledger Wallet и Exodus — одни из основных приложений, на которые нацелена эта атака.

Кампания с загрузчиком также включает kill switch. Вредоносное ПО прекращает выполнение, если обнаруживает русскую раскладку клавиатуры.

Исследователи безопасности заметили, что злоумышленники используют curl, osascript и другие нативные утилиты macOS для запуска вредоносных команд прямо в памяти. Это безфайловый подход, усложняющий обнаружение стандартными антивирусными средствами.

Злоумышленники нацелены на разработчиков криптовалют

Исследователи безопасности из ANY[.]RUN обнаружили операцию группы Lazarus под названием «Mach-O Man». Хакеры использовали ту же технику ClickFix через фальшивые приглашения на встречи. Они нацелены на финтех и криптоустройства, где широко используется macOS.

Cryptopolitan опубликовала информацию о кампании PromptMink.

В проект по торговле криптовалютой через вредоносный npm-пакет, внедрённый северокорейской группой Famous Chollima с помощью AI-сгенерированных изменений. Используя двухуровневый подход к пакетам, вредоносное ПО получило доступ к данным кошельков и системным секретам.

Обе кампании показывают, что данные криптовалютных кошельков ценны. Злоумышленники адаптируют свои методы доставки — от фальшивых блогов до компрометации цепочек поставок с помощью ИИ, чтобы добраться до них.

Если вы читаете это, вы уже на шаг впереди. Оставайтесь с нами с помощью нашей рассылки.