Thought Leadership
Sicherheitsforscher von Jamf haben eine abgewandelte Variante des bekannten ClickFix-Angriffs entdeckt. Statt das Terminal zu missbrauchen, setzen die Angreifer nun den macOS Script Editor ein.
ClickFix bezeichnet eine Social-Engineering-Methode, bei der Nutzer auf einer manipulierten Website dazu gebracht werden, Schadcode manuell auszuführen, häufig unter dem Vorwand einer Fehlerbehebung oder Systemwartung.
Die Methode erfordert keine Schwachstelle in der Software, sondern setzt auf die Täuschung des Nutzers. Der Angriff beginnt mit einer Website, die dem Apple-Design täuschend ähnlich sieht und vorgibt, bei der Speicherbereinigung zu helfen. Wer dort auf einen Button klickt, löst einen browserbasierten Workflow aus, der den Script Editor öffnet, mit einem bereits fertig ausgefüllten Skript. Die nötige Nutzerinteraktion ist bewusst gering gehalten.
Ausführung im Arbeitsspeicher
Das Skript wandelt einen verschlüsselten String in eine URL um, deaktiviert die TLS-Zertifikatsvalidierung und lädt anschließend eine Schadpayload herunter, die direkt im Arbeitsspeicher ausgeführt wird. Eine zweite Stufe aktiviert schließlich eine Malware, die Jamf als aktuelle Variante von Atomic Stealer identifiziert hat.
Reaktion auf Apples neuen Schutzmechanismus
Mit macOS 26.4 hat Apple eine Funktion eingeführt, die ins Terminal eingefügte Befehle vor der Ausführung prüft. Die Angreifer haben darauf reagiert und einfach den Vektor gewechselt, während die eigentliche Angriffsmechanik unverändert blieb. Jamf wertet das als Beispiel für das anhaltende Katz-und-Maus-Spiel zwischen Angreifern und Sicherheitsmaßnahmen und erwartet, dass weitere Varianten folgen werden.
(lb/Jamf)
