Angreifer nutzen nun Apples Script Editor statt Terminal, um die in macOS 26.4 eingeführte Befehlsprüfung zu umgehen und eine Variante des Atomic Stealers zu verbreiten.
- Die ClickFix-Malware-Kampagne zielt auf Mac-Nutzer ab und hat ihren Angriffsvektor vom Terminal auf den Script Editor verlagert.
- Dieser Wechsel umgeht die in macOS 26.4 von Apple eingeführte Sicherheitsfunktion, die eingefügte Befehle im Terminal vor der Ausführung scannt.
- Angreifer locken Nutzer mit gefälschten Systembereinigungsseiten im Browser und nutzen ein `applescript://`-URL-Schema, um den Script Editor direkt zu starten.
- Im Script Editor wird ein vorausgefülltes Skript als Speicherbereinigungstool präsentiert, das im Hintergrund einen obfuskierten Shell-Befehl ausführt.
- Dieser Befehl lädt eine Payload herunter, die von Jamf als Variante des Atomic Stealer-Malware identifiziert wurde, um sensible Daten zu sammeln.
- Die Infrastruktur der Kampagne umfasst die Domain `dryvecar[.]com` und ähnliche gefälschte Bereinigungsseiten.
- Nutzer sollten misstrauisch sein, wenn ein Browser die Erlaubnis fordert, den Script Editor oder ein anderes Systemtool zu öffnen, da macOS solche Wartungsaufgaben nicht über den Browser abwickelt.
Quelle: AppleInsider
Hinweis: Dieser Artikel wurde mithilfe von KI erstellt.
