Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Nowa kampania wymierzona w użytkowników macOS wykorzystuje technikę ClickFix do nakłonienia ofiary do uruchomienia polecenia w Terminalu. Po wykonaniu komendy system pobiera złośliwy obraz dysku DMG, montuje go w tle i uruchamia zawarty w nim ładunek bez typowych oznak widocznych dla użytkownika. Celem operacji jest instalacja infostealera Atomic macOS Stealer, znanego również jako AMOS, specjalizującego się w kradzieży danych uwierzytelniających, portfeli kryptowalutowych oraz informacji z aplikacji użytkownika.
W skrócie
Kampania rozpoczyna się od fałszywej strony CAPTCHA, która instruuje użytkownika, aby otworzył Terminal i wkleił podane polecenie. Komenda pobiera plik DMG do katalogu tymczasowego, montuje go za pomocą natywnego narzędzia systemowego i wyszukuje w obrazie aplikację lub instalator do uruchomienia. W rezultacie na urządzeniu ofiary uruchamiany jest stealer AMOS.
- Atak bazuje na socjotechnice, a nie na exploicie.
- Obraz DMG jest montowany w sposób niewidoczny dla użytkownika.
- Ładunek kradnie dane z przeglądarek, Keychain, komunikatorów i dokumentów.
- Kampania jest silnie ukierunkowana na przejęcie danych i aktywów kryptowalutowych.
Kontekst / historia
ClickFix to technika socjotechniczna, która w ostatnim czasie zyskała dużą popularność w kampaniach malware. Mechanizm polega na prezentowaniu fałszywych komunikatów o błędach, CAPTCHA lub rzekomych problemach z przeglądarką, a następnie dostarczaniu użytkownikowi „instrukcji naprawczych”, które prowadzą do samodzielnego uruchomienia złośliwego kodu.
W ekosystemie macOS ataki z wykorzystaniem plików DMG nie są nowością, jednak wcześniejsze scenariusze częściej wymagały ręcznego otwarcia pobranego obrazu przez użytkownika. W tym przypadku atakujący połączyli klasyczny wabik ClickFix z automatyzacją pobrania, montowania i uruchomienia ładunku, dzięki czemu cały proces jest bardziej płynny i mniej zauważalny.
Analiza techniczna
Łańcuch infekcji rozpoczyna się od uruchomienia przez ofiarę polecenia w Terminalu. Skrypt wykorzystuje narzędzie curl z parametrami ograniczającymi komunikaty wyjściowe i zapisuje pobrany plik DMG w katalogu /tmp pod losową nazwą. Następnie uruchamiane jest polecenie hdiutil attach -nobrowse, które montuje obraz dysku bez wyświetlania go w Finderze lub na pulpicie.
Po zamontowaniu obrazu skrypt przeszukuje strukturę katalogów i lokalizuje pierwszy dostępny pakiet .app lub .pkg, a następnie uruchamia go za pomocą systemowego polecenia open. Zaobserwowany ładunek był dostarczany jako DMG zawierający samopodpisaną aplikację należącą do rodziny Atomic macOS Stealer.
Z technicznego punktu widzenia AMOS koncentruje się na masowej kradzieży danych użytkownika. Malware zbiera informacje z wielu przeglądarek opartych na Chromium, w tym zapisane loginy, ciasteczka, dane autouzupełniania, zapisane karty płatnicze oraz profile użytkownika. Atak obejmuje również przeglądarki z rodziny Firefox oraz Safari.
Dodatkowo stealer uzyskuje dostęp do danych z Apple Keychain, Telegram Desktop, Discorda, Apple Notes, a także do wybranych plików dokumentów, takich jak PDF, TXT i RTF. Istotnym elementem działania jest również wyświetlanie fałszywego monitu systemowego o hasło, przypominającego natywne okno macOS, co pozwala przechwycić hasło użytkownika i rozszerzyć zakres kompromitacji.
Badacze wskazali także, że malware potrafi zastępować legalne instalacje aplikacji Ledger Live i Trezor Suite zmodyfikowanymi wersjami, co sugeruje wyraźne ukierunkowanie na kradzież aktywów kryptowalutowych. Po zebraniu danych malware kompresuje je do archiwum ZIP i przesyła na infrastrukturę kontrolowaną przez operatorów kampanii.
Konsekwencje / ryzyko
Ryzyko związane z tą kampanią jest wysokie z kilku powodów. Po pierwsze, atak nie opiera się na klasycznym wykorzystaniu podatności, lecz na skutecznej socjotechnice, co utrudnia jego blokowanie wyłącznie mechanizmami ochrony przed exploitami. Po drugie, wykorzystanie legalnych narzędzi macOS, takich jak curl, hdiutil i open, sprawia, że część aktywności może wyglądać jak zwykłe operacje administracyjne.
Po trzecie, zakres kradzionych danych obejmuje zarówno dostęp do kont internetowych, jak i poufne dane lokalne, tokeny sesyjne, hasła, portfele kryptowalutowe oraz informacje z komunikatorów. Dla użytkownika indywidualnego może to oznaczać przejęcie kont, utratę środków i kradzież dokumentów. Dla organizacji skutkiem może być kompromitacja danych dostępowych do usług SaaS, kont administracyjnych, narzędzi komunikacyjnych oraz aktywnych sesji przeglądarkowych.
Rekomendacje
Podstawową zasadą obrony jest traktowanie wszelkich instrukcji nakazujących uruchomienie komend w Terminalu jako sygnału ostrzegawczego. Żadna wiarygodna strona CAPTCHA ani standardowy mechanizm weryfikacji użytkownika nie powinny wymagać wklejania poleceń do powłoki systemowej.
Organizacje powinny wdrożyć monitoring procesu uruchamiania curl, hdiutil i open w nietypowych sekwencjach, szczególnie gdy dotyczą katalogu /tmp, obrazów DMG oraz nowych pakietów .app lub .pkg. Warto także rozszerzyć reguły EDR o detekcję montowania obrazów z parametrem ukrywającym wolumin przed użytkownikiem oraz o korelację takich zdarzeń z uruchomieniem Terminala przez przeglądarkę.
- szkolenie użytkowników w zakresie rozpoznawania scenariuszy ClickFix i fałszywych CAPTCHA,
- ograniczanie możliwości uruchamiania niezweryfikowanych aplikacji oraz pakietów instalacyjnych,
- monitorowanie dostępu do danych przeglądarek, Keychain i portfeli kryptowalutowych,
- wymuszenie MFA wszędzie tam, gdzie to możliwe,
- okresowa weryfikacja integralności aplikacji związanych z kryptowalutami,
- szybka rotacja haseł i unieważnianie sesji po wykryciu podejrzanej aktywności.
W przypadku podejrzenia infekcji należy niezwłocznie odłączyć host od sieci, zabezpieczyć artefakty systemowe, przeanalizować historię uruchamianych poleceń, sprawdzić katalogi tymczasowe i listę ostatnio montowanych obrazów DMG oraz wymusić zmianę poświadczeń używanych na danym urządzeniu.
Podsumowanie
Nowa kampania ClickFix przeciwko macOS pokazuje, że skuteczne ataki nie muszą wykorzystywać skomplikowanych luk zero-day. Wystarczy przekonać użytkownika do uruchomienia jednej komendy, aby legalne narzędzia systemowe pobrały, zamontowały i uruchomiły złośliwy ładunek. Połączenie socjotechniki z natywnymi funkcjami macOS zwiększa skuteczność operacji i utrudnia jej zauważenie. Dla zespołów bezpieczeństwa oznacza to konieczność wzmacniania detekcji zachowań, a nie tylko sygnatur, oraz intensywnej edukacji użytkowników końcowych.