„ClickFix“-Angriffe auf macOS jetzt auch via Script Editor

Sicherheitsforscher vom MDM-Spezialisten Jamf haben eine neue Variante der sogenannten ClickFix-Angriffstechnik entdeckt, bei der Nutzer dazu bewegt werden, Kommandos auf ihrem Mac auszuführen, die dann Malware installieren. Die neue Verteilmethode des bekannten Datenklauschädlings Atomic Stealer scheint darauf optimiert zu sein, einen neuen Schutz im macOS-Terminal zu umgehen, den Apple mit macOS 26.4 eingeführt hatte. Dieser soll dafür sorgen, dass problematischer Code nicht mehr so leicht ausgeführt werden kann.

Wie Jamf Threat Labs in einer Analyse schreibt, locken die Angreifer ihre Opfer auf eine gefälschte Apple-Webseite, die vorgibt, dabei zu helfen, Speicherplatz auf dem Mac freizugeben. Ein „Execute“-Button auf der Seite ruft dabei das applescript://-URL-Schema auf. Der Browser fordert daraufhin vom Nutzer die Erlaubnis, Script Editor zu öffnen – eine Aktion, die das Opfer womöglich arglos bestätigt.

Vom URL-Schema zum Datenklauer

Das eigentlich neue an der Methode liegt in der Nutzung des applescript://-URL-Schemas: Beim Aufruf startet Script Editor mit einem von der Website übergebenen, bösartigen AppleScript. Dieses Script führt nach der Ausführung durch den Nutzer eine verschleierte Befehlskette aus. Zunächst wird per curl-Kommando eine Payload von einem externen Server geladen, die nach Dekodierung anschließend an zsh übergeben wird. Eine zweite Stufe dekodiert per Base64 und gunzip weiteren Code, der schließlich die eigentliche Malware – ein Mach-O-Binary des Atomic Stealers – nach /tmp herunterlädt, erweiterte Attribute zum Ausführungsschutz entfernt und die Datei startbar macht.

Interessant dabei ist, dass die Installationskette dabei den Terminal-Paste-Schutz von macOS 26.4 umgeht. Apple hatte diese Schutzfunktion eingeführt, um Nutzer vor ClickFix-Angriffen zu warnen, wenn sie manipulierte Befehle ins Terminal einfügen, wobei das auch nicht immer funktioniert. Durch den Wechsel zu Script Editor wird dieser Mechanismus laut Jamf augenscheinlich ausgehebelt. Um die Malware aktiv zu schalten, muss der User allerdings noch den Abspielknopf (Play) in Script Editor klicken. Dass er das tun soll, wird auf der nachgeahmten Apple-Seite so mitgeteilt.

Was Atomic Stealer abgreift

Atomic Stealer ist ein schon seit 2023 aktiver Infostealer, der unter anderem über Telegram an Kriminelle vermarktet wird. Die Malware stiehlt unter anderem Keychain-Passwörter, Browser-Daten wie Autofill-Einträge, Cookies und Kreditkartennummern sowie Krypto-Wallets. Auch Dateien vom Desktop und aus dem Dokumentenordner können exfiltriert werden.

Neu ist die Verwendung von Script Editor zur Malware-Verbreitung eigentlich nicht, doch die Verbreitung via applescript://-Links ist neu. Nutzer sollten das Aufrufen des Script Editors über eine Website keinesfalls bestätigen. Apple hat bislang noch nicht auf die neue Methode reagiert. Es dürfte relativ leicht sein, diese zu verhindern.

(bsc)