За повідомленням Cryptopolitan від 11 травня, команда безпекових досліджень Microsoft Defender оприлюднила результати розслідування, виявивши, що атакувальники з кінця 2025 року публікували на Medium, Craft та інших платформах фальшиві гіди з усунення несправностей macOS, спонукаючи користувачів виконувати в терміналі шкідливі команди, що призводить до встановлення шкідливого ПЗ для викрадення ключів криптогаманців, даних iCloud і збережених у браузері паролів.
Механізм атаки: ClickFix обходить macOS Gatekeeper
Згідно зі звітом команди безпекових досліджень Microsoft Defender, атакувальники застосовують соціально-інженерну техніку під назвою ClickFix: на Medium, Craft і Squarespace вони публікують інструкції з усунення несправностей macOS, замасковані під реліз вивільнення дискового простору або виправлення системних помилок, і спонукають користувачів копіювати шкідливі команди та вставляти їх у macOS Terminal; після виконання команд шкідливе ПЗ автоматично завантажується та запускається.
За повідомленням Microsoft, цей спосіб обходить механізм безпеки macOS Gatekeeper, оскільки Gatekeeper перевіряє код під час виконання програм із застосунків, відкритих через Finder, через підпис коду та нотаріальну верифікацію, але спосіб, коли користувач безпосередньо виконує команди в Terminal, не підпадає під цей етап перевірки. Дослідники також з’ясували, що атакувальники використовують curl, osascript та інші нативні інструменти macOS для виконання шкідливого коду безпосередньо в пам’яті (безфайлові атаки), через що стандартним антивірусним рішенням складніше його виявляти.
Сімейства шкідливого ПЗ, масштаб викрадення та спеціальні механізми
Згідно зі звітом Microsoft, ця кампанія охоплює три сімейства шкідливого ПЗ (AMOS, Macsync, SHub Stealer) і три типи інсталятора (Loader, Script, Helper), а викрадені дані включають:
Ключі криптогаманців: Exodus, Ledger, Trezor
Облікові дані: iCloud, Telegram
Паролі, збережені в браузерах: Chrome, Firefox
Приватні файли та фото: локальні файли обсягом менше 2 MB
Після встановлення шкідливе ПЗ показує фальшиві діалогові вікна, що вимагають від користувача ввести пароль системи для встановлення «допоміжних інструментів»; якщо користувач вводить пароль, атакувальники отримують повний доступ до файлів і налаштувань системи. Microsoft також зазначила, що в деяких випадках атакувальники видаляють законні застосунки Trezor Suite, Ledger Wallet і Exodus, замінюючи їх версіями з вбудованим трояном для моніторингу транзакцій і викрадення коштів. Крім того, серед функцій шкідливого ПЗ є механізм завершення роботи: якщо виявляється розкладка клавіатури з російською, шкідливе ПЗ автоматично зупиняє виконання.
Супутні атаки та заходи захисту Apple
За результатами дослідження безпековиків ANY.RUN, Lazarus Group розпочала хакерську кампанію під назвою «Mach-O Man», використовуючи ті самі техніки, що й ClickFix: через підроблені запрошення на зустріч вони атакують фінтех- і криптовалютні компанії, де macOS є основною операційною системою.
Cryptopolitan також повідомляє, що корейська хакерська організація Famous Chollima використовує AI для генерації коду: згенеровані фрагменти впроваджують шкідливі npm-пакети в проєкти, пов’язані з криптовалютними транзакціями. Це шкідливе ПЗ використовує двошарову структуру обфускації, викрадаючи дані гаманців і конфіденційну інформацію системи.
За повідомленням, Apple додала в macOS 26.4 механізм захисту, який не дає змоги вставляти в термінал команди, позначені як потенційно шкідливі.
Поширені запитання
З яких моментів почалися ClickFix-атаки на macOS, розкриті Microsoft Defender, і на яких платформах їх публікували?
Згідно з повідомленнями команди безпекових досліджень Microsoft Defender і Cryptopolitan від 11 травня 2026 року, атакувальна активність розпочалася наприкінці 2025 року: зловмисники публікували фальшиві гіди з усунення несправностей macOS на Medium, Craft і Squarespace, спонукаючи користувачів Mac виконувати шкідливі команди в Terminal.
На які криптогаманці та типи даних орієнтувалася ця атака?
Згідно зі звітом Microsoft, шкідливе ПЗ (AMOS, Macsync, SHub Stealer) здатне викрадати ключі криптогаманців Exodus, Ledger і Trezor, а також дані облікових записів iCloud і Telegram, і паролі разом із іменами користувачів, збереженими в Chrome та Firefox.
Які заходи захисту Apple запровадила проти цього типу атак?
Згідно з повідомленням, Apple додала в macOS 26.4 механізм захисту, який блокує вставлення в macOS Terminal команд, позначених як потенційно шкідливі, щоб знизити ймовірність успіху соціально-інженерних атак типу ClickFix.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
