Pähklikus: Uus ClickFixi kampaania automatiseerib pahavara allalaadimise macOS-i puhul täielikult terminali käskude abil, kusjuures Atomic macOS Stealer varastab paroole, brauseri andmeid ja krüptorahakontorid.
Palo Alto Networks üksuse 42 turbeuurijate sõnul nakatab uus ClickFixi kampaania macOS-i süsteeme valetaoliste CAPTCHA päringu kaudu, mis panevad kasutajaid käivitama terminali käske. Need laadivad kurjameelsed DMG-failid taustaprogrammidena ilma failisüsteemi märkeid jättes.
Ründajad kasutavad ettevalmistatud veebilehti jäljendatud süsteemiteatetega või CAPTCHA päringutega. Nad peavad kasutajaid kopeerima ja käivitama antud terminali käsku. See käsk kasutab süsteemsete tööriista curli, et laadida kurjameelne kettakuva fail (DMG) väliselt serverilt ja salvestada selle ajutisesse kausta.
Erinevalt varasematest kampaaniatest, kus kasutajad pidid DMG-faili käsitsi avama, automatiseerib skript selle sammu täielikult. See kasutab macOS käsku hdiutil parameetriga -nobrowse, et paigaldada kettakuva ilma sümbolite näitamiseta Finderi või töölaual. Skript otsib seejärel kaustas installimisFaile ja käivitab leitud rakenduse – dokumenteeritud juhtudel ise allkirjastatud paketi nimega NNApp.app.
Sisestatud kasulik koormus on Atomic macOS Stealer (AMOS) variant. Pärast aktiveerimist näitab pahavara vale paroolijuhti, mis sarnaneb macOS-i süsteemiseadetega. See püüab välja tõmmata kasutaja administraatori parooli. Pahavara on suunatud andmete varastamisele kaheksast Chromium-põhisest brauserist, näiteks Google Chrome, Microsoft Edge ja Brave, samuti viiest Firefoxi derivaadist, näiteks LibreWolf ja Tor Browser – seal hulgas küpsised, salvestatud paroolid, krediitkaardi andmed ja brauseriprofiilid.
Lisaks sihtib pahavara krüptorahakonte (Exodus, Electrum, Binance Wallet, TonKeeper), Apple Notes’i, kohalikke dokumente ja Keychain’i andmebaase. Eriti kriitiline aspekt on see, et pahavara asendab Ledger Live’i ja Trezor Suite’i legitiimse paigaldamise manipuleeritud versioonidega, et varastada digitaalseid varasid otse. Kõik kogutud andmed pakitakse kokku ja saadetakse ründajate juhtserveritele.
Allikas: www.it-daily.net · Avaldatud 25. juuni 2026
Lumi AI News — KI-abiline kureerimine vastavalt EU AI akti art. 50. Parafraas ja klassifikatsioon Lumi News Pipeline v1.7.1 kaudu.