Thought Leadership
Eine neue macOS-ClickFix-Kampagne nutzt Terminal-Befehle, um Schadsoftware unbemerkt aus DMG-Dateien zu laden und Passwörter sowie Krypto-Daten zu stehlen.
Sicherheitsanalysten von Palo Alto Networks Unit 42 haben eine neue Schadsoftware-Kampagne dokumentiert, die auf Apple-Betriebssysteme abzielt. Die Angreifer nutzen eine als ClickFix bekannte Social-Engineering-Methode. Dabei werden präparierte Internetseiten verwendet, die dem Nutzer eine gefälschte CAPTCHA-Abfrage oder Systemfehlermeldung anzeigen. Um die angebliche Überprüfung zu bestehen, wird das Opfer dazu verleitet, einen bereitgestellten Befehl zu kopieren und in das macOS-Terminal einzugeben. Nach der Ausführung lädt der Befehl mittels des Systemwerkzeugs curl im Hintergrund eine bösartige Disk-Image-Datei (DMG) von einem externen Server herunter und speichert diese im temporären Verzeichnis des Systems ab.
Lautloses Laden der Schadsoftware bei Apple im Hintergrund
Im Gegensatz zu früheren Kampagnen, bei denen Anwender die heruntergeladenen DMG-Dateien manuell öffnen mussten, automatisiert der neue Terminal-Befehl diesen Prozess vollständig. Das Skript nutzt den nativen macOS-Befehl hdiutil mit dem Parameter -nobrowse. Dadurch wird das Disk-Image im System eingehängt, ohne dass ein Symbol im Finder oder auf dem Schreibtisch erscheint. Anschließend durchsucht das Skript die Verzeichnisstruktur nach Installationsdateien und führt die gefundene Anwendung über den open-Befehl aus. In den beobachteten Fällen tarnt sich die Schadsoftware als Anwendung namens NNApp.app innerhalb eines selbstsignierten Anwendungspakets, das von Servern wie svs-verificationdate.beer geladen wird.
Umfassender Datendiebstahl und Manipulation von Krypto-Anwendungen
Bei der eingeschleusten Nutzlast handelt es sich um eine Variante des Atomic macOS Stealer (AMOS). Sobald die Schadsoftware aktiv ist, blendet sie eine gefälschte Passwortabfrage ein, die den Systemeinstellungen nachempfunden ist, um das Administrator-Passwort des Nutzers abzugreifen. Das Programm ist darauf ausgelegt, sensible Daten aus acht Chromium-basierten Browsern wie Google Chrome, Microsoft Edge und Brave sowie aus fünf Firefox-Derivaten wie LibreWolf und Tor Browser zu extrahieren. Gestohlen werden Cookies, gespeicherte Passwörter, Kreditkartendaten und Browserprofile.
Zudem sucht die Schadsoftware gezielt nach Daten von Krypto-Wallets, darunter Exodus, Electrum, Binance Wallet und TonKeeper, sowie nach lokalen Dokumenten, Apple Notes und Keychain-Datenbanken. Die gesammelten Informationen werden komprimiert und an die Kontrollserver der Angreifer übertragen. Von besonderer Bedeutung ist, dass die Schadsoftware bestehende legitime Installationen der Krypto-Anwendungen Ledger Live und Trezor Suite durch manipulierte Versionen ersetzt, um digitale Vermögenswerte direkt zu entwenden.
(red)
