Gefälschte macOS-Fehlerbehebungsbeiträge installieren Krypto-Wallet-Diebe

Angreifer veröffentlichen gefälschte macOS-Fehlerbehebungsanleitungen auf Medium, Craft und Squarespace. Ziel ist es, Nutzer dazu zu bringen, Terminalbefehle auszuführen, die Schadsoftware installieren, welche auf iCloud-Daten, gespeicherte Passwörter und Krypto-Wallets abzielt.

Die Ergebnisse wurden vom Defender Security Research Team von Microsoft veröffentlicht. Die Kampagne läuft seit Ende 2025. Sie zielt auf Mac-Nutzer ab, die nach Hilfe bei häufigen Problemen wie dem Freigeben von Speicherplatz oder der Behebung von Systemfehlern suchen.

Statt eine legitime Lösung anzubieten, fordern die Seiten die Nutzer auf, einen Befehl zu kopieren und in das Terminal einzufügen. Dieser Befehl lädt Schadsoftware herunter und führt sie aus.

Die irreführenden Blogbeiträge fordern die Leser auf, einen schädlichen Befehl zu kopieren und in das Terminal einzufügen. Dieser Befehl lädt Schadsoftware herunter und führt sie auf dem Computer des Opfers aus.

Diese Technik heißt ClickFix. Es handelt sich um Social Engineering, bei dem die Verantwortung für das Ausführen der Schadsoftware auf das Opfer verlagert wird. Da der Benutzer den Befehl direkt im Terminal ausführt, untersucht macOS Gatekeeper die Schadsoftware nicht.

Gatekeeper überprüft normalerweise die Codesignatur und die notarielle Beglaubigung von App-Bundles, die über den Finder geöffnet werden, aber diese Methode umgeht dies vollständig.

Die Angreifer starteten drei Kampagnen mit demselben Ziel

Microsoft hat drei Kampagnen-Installer entdeckt:

1. Ein Lader.
2. Ein Drehbuch.
3. Ein Helfer.

Alle drei Methoden sammeln sensible Daten, etablieren Persistenz und exfiltrieren gestohlene Informationen auf die Server des Angreifers.

Zu den Malware-Familien gehören AMOS, Macsync und SHub Stealer. Nach der Installation einer dieser drei Malware-Arten greift sie auf iCloud- und Telegram-Kontodaten zu. Anschließend sucht sie nach privaten Dokumenten und Fotos unter 2 MB. Außerdemtracsie Krypto-Wallet-Schlüssel von Exodus, Ledger und Trezor und stiehlt gespeicherte Benutzernamen und Passwörter aus Chrome und Firefox.

Nach der Installation öffnet die Schadsoftware ein gefälschtes Dialogfeld und fordert ein Systempasswort zur Installation eines „Hilfsprogramms“. Gibt der Benutzer das Passwort ein, erhält der Angreifer vollen Zugriff auf Dateien und Systemeinstellungen.

In einigen Fällen stellten die Forscher fest, dass Angreifer legitime Krypto-Wallet-Apps gelöscht und durch manipulierte Versionen ersetzt hatten, die darauf ausgelegt waren, Transaktionen zu überwachen und Gelder zu stehlen.

Trezor Suite, Ledger Wallet und Exodus gehörten zu den Hauptanwendungen, die bei diesem Angriff ins Visier genommen wurden.

Die Loader-Kampagne enthält auch einen Kill-Switch. Die Malware stoppt die Ausführung, sobald sie ein russisches Tastaturlayout erkennt.

Sicherheitsforscher beobachteten Angreifer, die curl, osascript und andere native macOS-Dienstprogramme nutzten, um Schadsoftware direkt im Arbeitsspeicher auszuführen. Dieser dateilose Ansatz erschwert die Erkennung durch gängige Antivirenprogramme.

Angreifer nehmen Krypto-Entwickler ins Visier

Sicherheitsforscher von ANY[.]RUN entdeckten eine Operation der Lazarus-Gruppe namens „Mach-O Man“. Die Hacker nutzten dieselbe ClickFix-Technik wie zuvor und verschickten gefälschte Meeting-Einladungen. Sie hatten es auf Rechner von Fintech- und Krypto-Unternehmen , auf denen macOS weit verbreitet ist.

Cryptopolitan berichtete über die PromptMink-Kampagne.

Die nordkoreanische Gruppe Famous Chollima schleuste über eine KI-generierte Änderung ein bösartiges npm-Paket in ein Krypto-Handelsprojekt ein. Mithilfe eines zweistufigen Paketierungsansatzes erlangte die Schadsoftware Zugriff auf Wallet-Daten und Systemgeheimnisse.

Beide Kampagnen zeigen, dass Krypto-Wallet-Daten wertvoll sind. Angreifer passen ihre Methoden an – von gefälschten Blogbeiträgen bis hin zu KI-gestützten Angriffen auf Lieferketten –, um an diese Daten zu gelangen.