Auf den Punkt: Eine neue ClickFix-Kampagne automatisiert den Malware-Download auf macOS vollständig durch Terminal-Befehle, wobei Atomic macOS Stealer Passwörter, Browser-Daten und Krypto-Wallet-Bestände stiehlt.
Sicherheitsforschern von Palo Alto Networks Unit 42 zufolge infiziert eine neue ClickFix-Kampagne macOS-Systeme über gefälschte CAPTCHA-Abfragen, die Benutzer dazu bringen, Terminal-Befehle auszuführen. Diese laden bösartige DMG-Dateien im Hintergrund, ohne Dateisystem-Hinweise zu hinterlassen.
Die Angreifer verwenden präparierte Webseiten mit nachgeahmten Systemfehlermeldungen oder CAPTCHA-Abfragen. Sie verleiten Benutzer, einen bereitgestellten Terminal-Befehl zu kopieren und auszuführen. Dieser Befehl nutzt das Systemwerkzeug curl, um eine bösartige Disk-Image-Datei (DMG) von einem externen Server zu laden und im temporären Verzeichnis zu speichern.
Im Unterschied zu früheren Kampagnen, bei denen Benutzer die DMG-Datei manuell öffnen mussten, automatisiert das Skript diesen Schritt vollständig. Es verwendet den macOS-Befehl hdiutil mit dem Parameter -nobrowse, um das Disk-Image einzuhängen, ohne dass Symbole im Finder oder auf dem Desktop sichtbar werden. Das Skript durchsucht anschließend die Verzeichnisstruktur nach Installationsdateien und führt die gefundene Anwendung – in dokumentierten Fällen ein selbstsigniertes Paket namens NNApp.app – aus.
Die eingeschleuste Nutzlast ist eine Variante des Atomic macOS Stealer (AMOS). Nach Aktivierung zeigt die Schadsoftware eine gefälschte Passwortabfrage an, die den macOS-Systemeinstellungen nachempfunden ist. Damit versucht sie, das Administrator-Passwort des Benutzers zu extrahieren. Die Malware ist darauf ausgerichtet, Daten aus acht Chromium-basierten Browsern wie Google Chrome, Microsoft Edge und Brave sowie aus fünf Firefox-Derivaten wie LibreWolf und Tor Browser zu stehlen – darunter Cookies, gespeicherte Passwörter, Kreditkartendaten und Browserprofile.
Zusätzlich zielt die Malware auf Krypto-Wallets (Exodus, Electrum, Binance Wallet, TonKeeper) sowie auf Apple Notes, lokale Dokumente und Keychain-Datenbanken. Ein besonders kritischer Aspekt ist, dass die Schadsoftware legitime Installationen von Ledger Live und Trezor Suite durch manipulierte Versionen ersetzt, um digitale Vermögenswerte direkt zu entwenden. Alle erfassten Daten werden komprimiert und an Kontrollserver der Angreifer übertragen.
Quelle: www.it-daily.net · Erschienen 25. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.