Как сообщал Cryptopolitan 11 мая, команда по безопасности Microsoft Defender обнародовала результаты расследования, согласно которым злоумышленники с конца 2025 года размещали на Medium, Craft и других платформах фальшивые руководства по устранению неполадок macOS. Эти материалы побуждали пользователей выполнять вредоносные команды в терминале, что приводило к установке вредоносного ПО для кражи ключей криптокошельков, данных iCloud и сохранённых в браузере паролей.
Механизм атаки: ClickFix в обход macOS Gatekeeper
По данным отчёта команды по безопасности Microsoft Defender, злоумышленники использовали социально-инженерную технику под названием ClickFix: размещали на Medium, Craft и Squarespace фальшивые руководства по устранению неполадок macOS, выдавая их за инструкции по освобождению дискового пространства или исправлению системных ошибок. Пользователям предлагалось копировать вредоносные команды и вставлять их в macOS Terminal; после выполнения команд вредоносное ПО автоматически загружалось и запускалось.
Согласно сообщению Microsoft, этот подход обходит защитный механизм macOS Gatekeeper, поскольку Gatekeeper предназначен для проверки кода с помощью подписи и нотариального удостоверения при запуске приложений через Finder, тогда как выполнение команд напрямую в Terminal не подчиняется этому этапу проверки. Исследователи также обнаружили, что атакующие используют curl, osascript и другие нативные инструменты macOS для выполнения вредоносного кода непосредственно в памяти (безфайловая атака), из-за чего стандартным антивирусам сложнее его обнаружить.
Семейства вредоносного ПО, воровские цели и особые механизмы
Согласно отчёту Microsoft, эта активность включает три семейства вредоносного ПО (AMOS, Macsync, SHub Stealer) и три типа установщиков (Loader, Script, Helper). В число похищаемых целевых данных входят:
Ключи криптокошельков: Exodus, Ledger, Trezor
Учётные данные: iCloud, Telegram
Сохранённые в браузере пароли: Chrome, Firefox
Личные файлы и фотографии: локальные файлы менее 2 MB
После установки вредоносное ПО отображает фальшивые диалоговые окна, требуя от пользователя ввести системный пароль для установки «вспомогательного инструмента». Если пользователь вводит пароль, атакующий получает полный доступ к файлам и системным настройкам. Microsoft также отмечает, что в некоторых случаях злоумышленники удаляют легитимные приложения Trezor Suite, Ledger Wallet и Exodus и заменяют их версиями с встраиванием трояна для мониторинга транзакций и кражи средств. Кроме того, загружаемые указанным вредоносным ПО программы включают выключатель: при обнаружении русской раскладки клавиатуры вредоносное ПО автоматически прекращает выполнение.
Связанные атаки и меры защиты Apple
По данным расследования специалистов ANY.RUN, Lazarus Group запустила хакерскую кампанию под названием «Mach-O Man», применяя те же техники, что и ClickFix: через фальшивые приглашения на встречи она нацеливалась на компании в сфере финтеха и криптовалют, где macOS является основным рабочим устройством.
Cryptopolitan также сообщал, что северокорейская хакерская группа Famous Chollima использует AI для генерации кода, внедряя вредоносные npm-пакеты в проекты криптовалютных торговых систем. Это вредоносное ПО использует двухслойную архитектуру обфускации и похищает данные кошельков и конфиденциальную информацию системы.
Как сообщается, Apple добавила защитный механизм в версии macOS 26.4, который препятствует вставке в macOS Terminal команд, помеченных как потенциально вредоносные.
Частые вопросы
С какого момента началась ClickFix-атака на macOS, раскрытая Microsoft Defender, и где она была опубликована?
По данным сообщения команды по безопасности Microsoft Defender и Cryptopolitan от 11 мая 2026 года, активность началась в конце 2025 года: злоумышленники размещали на Medium, Craft и Squarespace фальшивые руководства по устранению неполадок macOS, чтобы побудить пользователей Mac выполнять вредоносные команды в Terminal.
На какие криптокошельки и типы данных нацелена эта атака?
Согласно отчёту Microsoft, вредоносное ПО (AMOS, Macsync, SHub Stealer) может похищать ключи криптокошельков Exodus, Ledger и Trezor, данные учётных записей iCloud и Telegram, а также имена пользователей и пароли, сохранённые в Chrome и Firefox.
Какие меры защиты Apple выпустила против этого типа атак?
По сообщениям, Apple добавила защитный механизм в версии macOS 26.4, который блокирует вставку в macOS Terminal команд, помеченных как потенциально вредоносные, чтобы снизить вероятность успеха социально-инженерных атак типа ClickFix.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
