Ein neuer macOS-ClickFix-Angriff richtet sich gegen Apple-Nutzer und nutzt eine unauffällige Methode zur Verbreitung von Malware. Dabei werden bösartige Disk-Image-Dateien unbemerkt eingebunden und eine informationsstehlende Schadsoftware installiert. Sicherheitsforscher warnen, dass die Kampagne auf Social Engineering statt auf Software-Exploits setzt. Dadurch wird die Aufmerksamkeit der Nutzer zu einer entscheidenden Verteidigungslinie.
Der Angriff verbreitet Atomic macOS Stealer (AMOS), eine der aktivsten Familien von Infostealer-Malware für Apple-Geräte. Nach der Installation kann die Schadsoftware Anmeldedaten, Informationen aus Kryptowallets, persönliche Dateien und weitere sensible Daten sammeln.
Angriff nutzt Terminal-Befehle zum Einbinden bösartiger DMG-Dateien
Forscher entdeckten, dass die Kampagne auf der ClickFix-Technik basiert. Die Opfer werden dazu verleitet, Befehle im Terminal auszuführen, nachdem sie gefälschte Verifizierungsanfragen oder Anleitungen zur Fehlerbehebung erhalten haben. Im Gegensatz zu herkömmlichen Malware-Downloads bringt der Angriff die Nutzer dazu, die Infektion selbst auszulösen.
Nach der Ausführung des Befehls lädt das Skript unbemerkt eine schädliche DMG-Datei herunter, bindet sie im Hintergrund ein und startet die Malware ohne weitere Benutzerinteraktion. Diese Methode hilft den Angreifern, bestimmte Sicherheitswarnungen zu umgehen, die sonst Misstrauen wecken könnten.
Die Technik stellt die nächste Entwicklungsstufe von ClickFix-Kampagnen dar, die sich kontinuierlich an neue Schutzmaßnahmen der Sicherheitsbranche anpassen.
Atomic Stealer bleibt die finale Schadsoftware
Die Angreifer nutzen die Kampagne zur Verbreitung von Atomic macOS Stealer, besser bekannt als AMOS. Die Malware ist darauf spezialisiert, sensible Informationen von Apple-Geräten zu stehlen.
Nach Angaben der Forscher kann die Schadsoftware folgende Daten sammeln:
- Benutzernamen und Passwörter aus Browsern
- Informationen aus Kryptowallets
- Daten aus dem Apple Keychain
- Inhalte von Messaging-Anwendungen
- Dokumente und andere gespeicherte Dateien
In einigen Fällen kann die Malware zudem legitime Anwendungen im Zusammenhang mit Kryptowährungen durch manipulierte Versionen ersetzen, die digitale Vermögenswerte stehlen sollen.
Da Kryptowallets häufig erhebliche finanzielle Werte enthalten, bleiben macOS-Nutzer, die mit Kryptowährungen handeln, ein bevorzugtes Ziel solcher Kampagnen.
ClickFix entwickelt sich auf macOS weiter
ClickFix-Angriffe wurden ursprünglich auf Windows-Systemen bekannt. Im vergangenen Jahr haben Bedrohungsakteure die Technik jedoch zunehmend für Apple-Geräte angepasst. Forscher beobachteten mehrere auf macOS ausgerichtete Kampagnen, die gefälschte Dienstprogramme, Anleitungen zur Fehlerbehebung, KI-bezogene Software und technische Supportinhalte als Köder einsetzen.
Sicherheitsunternehmen dokumentierten zudem mehrere neue Varianten. Einige Kampagnen missbrauchten den Script Editor anstelle des Terminals, während andere gefälschte Apple-Supportseiten verwendeten, die Nutzer zu schädlichen Aktionen verleiten sollten.
Die aktuelle Kampagne zeigt, dass Angreifer ihre Methoden kontinuierlich weiterentwickeln, um neue Sicherheitsmaßnahmen zu umgehen und sichtbare Warnsignale zu reduzieren.
Apple hat neue Schutzmaßnahmen eingeführt
Apple hat kürzlich Sicherheitsfunktionen eingeführt, die ClickFix-Angriffe weniger effektiv machen sollen. Neuere Versionen von macOS zeigen Warnhinweise an, wenn Nutzer potenziell gefährliche Befehle in das Terminal einfügen möchten. Die Funktion soll Anwender warnen, bevor sie unbeabsichtigt schädliche Anweisungen ausführen.
Forscher weisen jedoch darauf hin, dass Angreifer ihre Techniken ständig anpassen. Einige aktuelle Kampagnen nutzen bereits alternative Methoden, die eine direkte Interaktion mit dem Terminal vermeiden.
Deshalb reichen technische Schutzmaßnahmen allein möglicherweise nicht aus, um jeden Angriff zu verhindern.
Fazit
Der macOS-ClickFix-Angriff zeigt, dass Social Engineering weiterhin zu den effektivsten Methoden zur Verbreitung von Malware gehört. Indem Angreifer Nutzer dazu bringen, scheinbar harmlose Befehle auszuführen, können sie Atomic Stealer unbemerkt herunterladen und starten, ohne Software-Schwachstellen auszunutzen. Da sich ClickFix-Kampagnen stetig weiterentwickeln, sollten Mac-Nutzer bei Online-Anleitungen zur Fehlerbehebung vorsichtig sein und keine Terminal-Befehle aus nicht vertrauenswürdigen Quellen ausführen.
0 Kommentare zu „macOS-ClickFix-Angriff nutzt DMG-Dateien zur Verbreitung von Infostealer-Malware“