- 26,738
- 46
- 8 Ноя 2022
Пользователи Mac годами смеялись над вирусами для Windows. ClickFix предлагает пересмотреть позицию.
Пользователям macOS снова предлагают «простое решение» для ускорения компьютера или очистки диска, но за такой совет можно заплатить паролями, файлами и доступом к криптокошелькам. Microsoft сообщила о новой волне кампании ClickFix , в которой злоумышленники маскируют вредоносные команды под полезные инструкции для владельцев Mac.
Злоумышленники размещали такие инструкции на отдельных сайтах, в блогах Medium и на платформе Craft. Страницы выглядели как обычные советы по решению проблем macOS: пользователю предлагали скопировать команду, вставить её в «Терминал» и запустить. На деле команда загружала и запускала вредоносный код, который устанавливал похитители данных Macsync , Shub Stealer, AMOS и другие вредоносные программы.
Раньше похожие атаки чаще использовали образы дисков с расширением .dmg, где жертве приходилось вручную открывать и устанавливать приложение. Теперь схема стала опаснее. Команда запускается прямо через «Терминал», загружает удалённый сценарий и сразу передаёт его на выполнение. Такой путь помогает обойти часть проверок, которые macOS применяет к обычным приложениям, открытым через Finder.
После заражения вредоносные программы собирают пароли из браузеров, данные связки ключей macOS, сведения из iCloud, файлы пользователя, переписки Telegram, данные криптокошельков и ключи от них. В некоторых случаях вредоносный код заменял настоящие приложения Ledger Wallet, Trezor Suite и Exodus поддельными версиями, чтобы пользователь продолжил работать с уже скомпрометированным кошельком.
Microsoft описывает несколько вариантов атаки. В одном случае вредоносная программа сначала проверяла язык клавиатуры и прекращала работу при обнаружении русской или другой раскладки стран СНГ. В другом варианте сценарий искал рабочий управляющий сервер, а если основные адреса не отвечали, пытался получить новый адрес через Telegram. Третий вариант использовал файлы helper или update, проверял признаки виртуальной машины и прекращал работу в средах, похожих на песочницы для анализа вредоносного кода.
Для закрепления в системе злоумышленники создавали задания автозапуска macOS, маскируя их под служебные компоненты Google или Finder. После перезагрузки заражённый Mac снова подключался к серверу злоумышленников и мог получать новые команды. Собранные данные архивировались, отправлялись на удалённый сервер, а временные файлы удалялись, чтобы усложнить расследование.
Apple уже обновила защиту XProtect, а в macOS 26.4 добавила отдельное предупреждение для опасных вставок в «Терминал». Если пользователь пытается вставить подозрительную команду, система блокирует действие и предупреждает, что мошенники часто просят выполнять такие команды через сайты, чаты, приложения, файлы или телефонные звонки.
Главный совет остаётся простым: не вставлять в «Терминал» команды с сайтов и форумов, если источник не вызывает полного доверия. Для обычного пользователя такая команда выглядит как набор непонятных символов, а для злоумышленников может стать быстрым способом забрать пароли, файлы и деньги с криптокошельков.
Пользователям macOS снова предлагают «простое решение» для ускорения компьютера или очистки диска, но за такой совет можно заплатить паролями, файлами и доступом к криптокошелькам. Microsoft сообщила о новой волне кампании ClickFix , в которой злоумышленники маскируют вредоносные команды под полезные инструкции для владельцев Mac.
Злоумышленники размещали такие инструкции на отдельных сайтах, в блогах Medium и на платформе Craft. Страницы выглядели как обычные советы по решению проблем macOS: пользователю предлагали скопировать команду, вставить её в «Терминал» и запустить. На деле команда загружала и запускала вредоносный код, который устанавливал похитители данных Macsync , Shub Stealer, AMOS и другие вредоносные программы.
Раньше похожие атаки чаще использовали образы дисков с расширением .dmg, где жертве приходилось вручную открывать и устанавливать приложение. Теперь схема стала опаснее. Команда запускается прямо через «Терминал», загружает удалённый сценарий и сразу передаёт его на выполнение. Такой путь помогает обойти часть проверок, которые macOS применяет к обычным приложениям, открытым через Finder.
После заражения вредоносные программы собирают пароли из браузеров, данные связки ключей macOS, сведения из iCloud, файлы пользователя, переписки Telegram, данные криптокошельков и ключи от них. В некоторых случаях вредоносный код заменял настоящие приложения Ledger Wallet, Trezor Suite и Exodus поддельными версиями, чтобы пользователь продолжил работать с уже скомпрометированным кошельком.
Microsoft описывает несколько вариантов атаки. В одном случае вредоносная программа сначала проверяла язык клавиатуры и прекращала работу при обнаружении русской или другой раскладки стран СНГ. В другом варианте сценарий искал рабочий управляющий сервер, а если основные адреса не отвечали, пытался получить новый адрес через Telegram. Третий вариант использовал файлы helper или update, проверял признаки виртуальной машины и прекращал работу в средах, похожих на песочницы для анализа вредоносного кода.
Для закрепления в системе злоумышленники создавали задания автозапуска macOS, маскируя их под служебные компоненты Google или Finder. После перезагрузки заражённый Mac снова подключался к серверу злоумышленников и мог получать новые команды. Собранные данные архивировались, отправлялись на удалённый сервер, а временные файлы удалялись, чтобы усложнить расследование.
Apple уже обновила защиту XProtect, а в macOS 26.4 добавила отдельное предупреждение для опасных вставок в «Терминал». Если пользователь пытается вставить подозрительную команду, система блокирует действие и предупреждает, что мошенники часто просят выполнять такие команды через сайты, чаты, приложения, файлы или телефонные звонки.
Главный совет остаётся простым: не вставлять в «Терминал» команды с сайтов и форумов, если источник не вызывает полного доверия. Для обычного пользователя такая команда выглядит как набор непонятных символов, а для злоумышленников может стать быстрым способом забрать пароли, файлы и деньги с криптокошельков.
- Источник новости
- www.securitylab.ru
