BEDROHUNG
Eine aktuelle ClickFix-Kampagne zielt auf macOS-Nutzer und setzt dabei auf den Script Editor statt auf das Terminal, um die von Apple in macOS Tahoe 26.4 eingeführte Paste-Warnung zu umgehen.
Nach Angaben des MDM-Entwicklers Jamf werden potenzielle Opfer auf eine gefälschte Apple-Webseite geleitet, die vorgibt, Speicherplatz auf dem Mac freizugeben. Ein Klick auf einen „Execute"-Button ruft den Script Editor über applescript://-URL-Schemas auf – sofern der Nutzer dem Browser die Erlaubnis zum Öffnen erteilt. Ein verschleierter Befehl lädt ein AppleScript von einem Command-and-Control-Server, das eine Mach-O-Binary des Atomic Stealers nach /tmp herunterlädt und ausführt.
Die Malware exfiltriert Keychain-Passwörter, Browser-Daten wie gespeicherte Passwörter, Cookies und Kreditkartennummern sowie Krypto-Wallets. Sie enthält außerdem eine Backdoor-Komponente, die Angreifern Persistenz auf betroffenen Systemen ermöglicht.
Was jetzt zu tun ist:
- Nutzer sensibilisieren: Keine Befehle aus unbekannten Quellen im Script Editor ausführen
- betroffene Systeme bereinigen
PRÄVENTION & DETECTION
Ein leistungsstarkes SIEM, wie IBM QRadar oder Splunk bündelt sicherheitsrelevante Ereignisse aus allen Systemen, korreliert diese intelligent und liefert präzise Alarme. So erhalten Security-Teams die Grundlage für schnelle Entscheidungen, klare Prioritäten und effektive Incident Response. EDR-Lösungen, wie Sentinel One oder Microsfoft Defender analysieren das Verhalten von Endpoints in Echtzeit.
Autor: Michael Niers
