Кампанія з поширення шкідливого програмного забезпечення ClickFix націлена на користувачів Mac, які шукають допомогу

Зловмисники публікують фальшиві посібники з усунення несправностей macOS на Medium, Craft і Squarespace. Мета — змусити користувачів запускати команди в Терминалі, які встановлюють шкідливе програмне забезпечення, спрямоване на дані iCloud, збережені паролі та криптовалютні гаманці.

Команда з досліджень безпеки Microsoft Defender опублікувала результати. Кампанія триває з кінця 2025 року. Вона цілиться у користувачів Mac, які шукають допомогу з поширеними проблемами, такими як звільнення місця на диску або виправлення системних помилок.

Замість пропонування легітимного рішення, сторінки радять користувачам скопіювати команду та вставити її у Терминал. Ця команда завантажує та запускає шкідливе програмне забезпечення.

Обманні блоги радять читачам скопіювати зловмисну команду та вставити її у Терминал. Ця команда завантажує шкідливе ПЗ і виконує його на комп’ютері жертви.

Техніка називається ClickFix. Це соціальна інженерія, яка перекладає відповідальність за запуск шкідливого коду на жертву. Оскільки користувач виконує команду безпосередньо у Терминалі, Gatekeeper macOS ніколи не перевіряє цей код.

Зазвичай Gatekeeper перевіряє підписання коду та нотаризацію додатків, відкритих через Finder, але цей метод цілком його обходить.

Зловмисники запустили три кампанії з однаковою метою

Microsoft виявила три інсталятори кампанії:

Завантажувач.

Скрипт.

Помічник.

Усі три збирають чутливі дані, встановлюють стійкість і передають викрадену інформацію на сервери зловмисників.

Сімейства шкідливого ПЗ включають AMOS, Macsync і SHub Stealer. Якщо будь-який з трьох був встановлений, він націлюється на дані iCloud і Telegram. Потім шукає приватні документи і фотографії менше 2 МБ. А також витягує ключі криптовалютних гаманців з Exodus, Ledger і Trezor, і краде збережені імена користувачів і паролі з Chrome і Firefox.

Після встановлення шкідливе ПЗ виводить фальшиве діалогове вікно і просить системний пароль для встановлення “помічного інструменту”. Якщо користувач введе пароль, зловмисник отримує повний доступ до файлів і системних налаштувань.

У деяких випадках дослідники виявили, що зловмисники видаляли легітимні додатки криптовалютних гаманців і замінювали їх троянськими версіями, створеними для моніторингу транзакцій і крадіжки коштів.

Trezor Suite, Ledger Wallet і Exodus були деякими з основних цілей цієї атаки.

Кампанія з завантажувачем також включає механізм аварійного вимикання. Шкідливе ПЗ припиняє виконання, якщо виявляє російську розкладку клавіатури.

Дослідники з безпеки спостерігали за тим, як зловмисники використовують curl, osascript та інші нативні утиліти macOS для запуску шкідливих кодів безпосередньо у пам’яті. Це безфайловий підхід, який ускладнює виявлення стандартними антивірусними засобами.

Зловмисники націлюються на розробників криптовалют

Дослідники з ANY[.]RUN виявили операцію групи Lazarus під назвою “Mach-O Man”. Хакери використовували ту ж техніку ClickFix через фальшиві запрошення на зустрічі. Вони націлювалися на фінтех і крипто-компанії, де поширений macOS.

Cryptopolitan опублікував інформацію про кампанію PromptMink.

Злочинна npm-пакет був доданий до проекту криптоторгівлі групою з Північної Кореї Famous Chollima через зміну, згенеровану штучним інтелектом. Використовуючи двошаровий підхід з пакунками, шкідливе ПЗ отримало доступ до даних гаманця і системних секретів.

Обидві кампанії показують, що дані криптовалютних гаманців цінні. Зловмисники адаптують свої методи доставки — від фальшивих блогів до компрометації ланцюжка поставок за допомогою штучного інтелекту.

Якщо ви читаєте це, ви вже на крок попереду. Залишайтеся з нашим розсилкою.