NEU: „ClickFix“-Angriff auf macOS via Script Editor

Am Von In UP2DATE

This content is protected against AI scraping.

Forschende von Jamf Threat berichten heute über eine neue Variante einer bekannten Cyberangriffsmethode. Der Angriff zielt auf Mac-Nutzende ab und nutzt eine ziemlich geschickte Täuschung, um Schadsoftware auf den Mac zu schleusen.

Das Besondere: Die Angreifer haben ihre Methode angepasst, um eine neu eingeführte Sicherheitsfunktion von Apple zu umgehen. Eine neue Runde im Katz-und-Maus-Spiel ist eröffnet. Und ja: Auch macOS ist nicht sicher vor Cyberkriminellen!

Wie funktioniert der Angriff?

Klassisch via Terminal

Bisher nutzten ähnliche Angriffe das Terminal – die Kommandozeile von macOS. Nutzer:innen wurden dazu verleitet, schädliche Befehle einzufügen, oft unter dem Vorwand von „Systemwartung“ oder „Fehlerbehebung“.

Neu via Script Editor

Die neue Variante umgeht das Terminal komplett. Stattdessen wird der Script Editor verwendet – ein legitimes macOS-Programm zur Ausführung von AppleScript-Befehlen.

Der Ablauf:

  1. Sie besuchen eine gefälschte Webseite, die wie eine offizielle Apple-Seite aussieht.
  2. Die Seite verspricht Hilfe bei der Speicherbereinigung („Platz auf Ihrem Mac freigeben“).
  3. Ein Klick auf einen Button öffnet den Script Editor mit einem hinterlegten Skript.
  4. Sie werden aufgefordert, die Ausführung zu bestätigen.
  5. Im Hintergrund wird Schadsoftware heruntergeladen und ausgeführt.

Vertrauenswürdige Programme werden missbraucht

Script Editor ist ein legitimes Apple-Tool. Das macht den Angriff schwerer zu erkennen, da keine unbekannten Programme installiert werden müssen.

Apple führte in macOS 26.4 eine Funktion ein, die im Terminal eingefügte Befehle scannt. Diese neue Methode umgeht diesen Schutz komplett.

Infostealer-Payload

Die installierte Schadsoftware (Atomic Stealer) kann persönliche Daten stehlen, darunter:

  • Passwörter
  • Browser-Daten
  • Kryptowährungs-Wallets
  • Systeminformationen

Warnsignale wahrnehmen:

  • Webseiten, die nach Apple aussehen, aber nicht von apple.com stammen.
  • Aufforderungen, Skripte auszuführen – besonders über „Execute“-Buttons.
  • Browser-Prompts, die fragen, ob eine Webseite den Script Editor öffnen darf.
  • Verschlüsselte oder kodierte Befehle, die Sie nicht verstehen können.
  • Keine offizielle Apple-Webseite wird Sie auffordern, Terminal- oder Script-Editor-Befehle auszuführen.
  • Apple bietet keine manuellen Speicherbereinigungs-Skripte zum Kopieren an.
  • Seriöse Software benötigt keine manuelle Skriptausführung.
[https://www.jamf.com/blog/clickfix-macos-script-editor-atomic-stealer/]