Кампания ClickFix угрожает macOS: злоумышленники внедряют похитители данных через поддельные советы в блогах

Ранее подобные кампании распространяли вредоносные программы через образы дисков (файлы .dmg), которые требовали ручной установки. Сейчас тактика изменилась. Теперь атакующие заставляют пользователя самостоятельно открыть терминал и выполнить команды, использующие штатные утилиты операционной системы. В отличие от установки приложений через Finder, которая проверяется механизмами Gatekeeper (встроенная система проверки подлинности кода), скрипты, запущенные в терминале напрямую, не проходят такую проверку. Это повышает шансы на успешное выполнение вредоносной полезной нагрузки.

Исследователи выделяют три отдельных кампании в рамках этой деятельности: кампания с установщиком (loader campaign), кампания со скриптом (script campaign) и кампания с помощником (helper campaign). Все они преследуют одну цель - сбор и выгрузку конфиденциальных данных, закрепление в системе и удалённое управление. В зависимости от варианта атаки, на устройство доставляется один из похитителей: Macsync, Shub Stealer или AMOS. Эти программы собирают медиафайлы, данные из iCloud, записи из связки ключей (Keychain) и ключи криптовалютных кошельков. В некоторых случаях злоумышленники подменяют легитимные приложения для работы с криптовалютами на заражённые версии.

Наиболее детально описана кампания с установщиком, активная с февраля 2026 года. После того как пользователь копирует и запускает вредоносную команду, терминал с помощью утилиты curl загружает скрипт-загрузчик с сервера злоумышленников. Этот скрипт декодирует полезную нагрузку, используя Base64 и сжатие Gzip, после чего выполняет её. Важной особенностью является механизм проверки языка клавиатуры: если система обнаруживает русскую раскладку, выполнение немедленно прекращается. Это позволяет атакующим избежать заражения устройств, расположенных в странах бывшего СССР. В случае успеха скрипт собирает сведения о системе: имя хоста, версию ОС, внешний IP-адрес и раскладку клавиатуры. Затем он отправляет JSON-объект на командный сервер (C2) и начинает загрузку и запуск AppleScript-похитителя прямо в памяти, используя osascript (интерпретатор скриптов AppleScript). Именно отчёт Microsoft подробно разбирает каждый этап этой атаки.

Сам похититель, идентифицирующий себя как Shub Stealer, запрашивает у пользователя пароль под предлогом установки вспомогательной утилиты. Он проверяет корректность пароля штатным средством dscl. После подтверждения все собранные данные помещаются во временную папку /tmp/shub_<случайный ID>. В неё попадают учётные данные браузеров, заметки, медиафайлы, данные мессенджера Telegram, содержимое криптовалютных кошельков, записи связки ключей и данные учётной записи iCloud. Также программа собирает документы размером менее 2 мегабайт с такими расширениями, как txt, pdf, docx, wallet, key, kdbx и другие. После архивации данных они отправляются на командный сервер, а временные файлы удаляются, чтобы затруднить расследование.

Помимо кражи данных, Shub Stealer ищет установленные приложения для криптовалютных кошельков: Electrum, Coinomi, Exodus, Atomic, Wasabi, Ledger Live, Trezor Suite и другие. Если он находит такие программы, он выгружает их данные. Более того, злоумышленники заменяют легитимные приложения на заражённые версии. Например, Ledger Wallet.app заменяется троянизированной копией, загружаемой с сервера. Эти поддельные приложения могут незаметно перехватывать транзакции, что грозит владельцам криптовалют прямыми финансовыми потерями.

Для закрепления в системе похититель создаёт скрипт в папке ~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/ и маскирует его под легитимное обновление Google. Затем формируется plist-файл (файл конфигурации LaunchAgent) с именем com.google.keystone.agent.plist. После перезагрузки системы этот агент запускает вредоносный компонент, который регистрирует устройство на командном сервере по адресу <C2-домен>/api/bot/heartbeat и периодически отправляет сведения об устройстве. Сервер может возвращать закодированные команды, которые исполняются прямо на устройстве, обеспечивая злоумышленнику полный удалённый контроль.

Кампания со скриптом (script campaign), замеченная в апреле 2026 года, использует сильно обфусцированный код. Пользователь также запускает одну строку в терминале, которая загружает скрипт с сервера и передаёт его для выполнения без записи на диск. Этот скрипт создаёт plist-файл в папке ~/Library/LaunchAgents/, а сам AppleScript-загрузчик оказывается в этом же plist-файле. При выполнении он сначала пытается обнаружить доступный командный сервер из жёстко заданного списка, используя curl с реалистичным User-Agent браузера Chrome. Если все изначальные адреса не отвечают, скрипт обращается к странице бота в Telegram, извлекает оттуда новый адрес через HTML-элемент и использует его. Это позволяет атакующим оперативно менять инфраструктуру. После нахождения рабочего сервера команда отправляет POST-запрос с идентификатором транзакции, и ответ сервера тут же передаётся на выполнение через osascript - полностью в памяти, без записи на диск.

Кампания с помощником (helper campaign) нацелена на установку похитителя AMOS. Она начинается с загрузки исполняемого Mach-O файла (двоичный файл macOS) и сохранения его в папке /tmp/ под именем helper или update. После снятия расширенных атрибутов и предоставления прав на выполнение этот файл запускается. Важной особенностью является встроенная защита от анализа: перед выполнением скрипт проверяет системную информацию на наличие признаков виртуальной машины - QEMU, VMware, KVM, а также ищет общие индикаторы вроде "Chip: Unknown" или "Virtual Machine". Если такие найдены, выполнение прекращается. В противном случае похититель запрашивает пароль пользователя, проверяет его и начинает сбор данных из связки ключей, браузеров (учётные данные, куки, автозаполнение) и криптокошельков (как расширений браузера, так и настольных приложений). Собранные данные архивируются в /tmp/out.zip и отправляются на конечную точку командного сервера.

Для долговременного доступа в системе helper campaign устанавливает двухкомпонентный механизм: скрытый файл .mainhelper в домашнем каталоге пользователя, который выполняет задачи злоумышленников и связывается с сервером 45.94.47.204, и файл-обёртку .agent, задача которого - перезапускать .mainhelper в случае его завершения. Затем с помощью LaunchDaemon создаётся системная задача com.finder.helper.plist, которая запускает .agent с правами root при каждой загрузке. Это гарантирует, что бэкдор будет активен постоянно.

Последствия таких атак крайне серьёзны. Пользователи macOS, доверяющие советам из непроверенных блогов и форумов, рискуют не только потерять ценные данные и пароли, но и лишиться доступа к криптовалютным активам. Подмена легитимных приложений криптокошельков на вредоносные версии может оставаться незамеченной в течение длительного времени, позволяя злоумышленникам опустошать счета жертв. Закрепление в системе через LaunchAgents и LaunchDaemons делает удаление вредоносного кода сложным, особенно для неопытных пользователей. Microsoft рекомендует никогда не копировать и не выполнять в терминале команды, полученные из ненадёжных источников, особенно если они призывают ввести пароль или скачать неизвестный файл. Использование современных антивирусных решений, таких как Microsoft Defender for Endpoint, позволяет выявлять подобные угрозы на ранних стадиях, а средства блокировки выполнения скриптов из подозрительных доменов снижают риск компрометации. Владельцам криптовалют стоит проявлять особую осторожность и не устанавливать обновления для кошельков по ссылкам из сомнительных сообщений.

IPv4

• 45.94.47.204
• 95.85.251.177

Domains

• 0x666.info
• aforvm.com
• apple-mac-fix-hidden.medium.com
• arkypc.com
• avafex.com
• bankafolder.com
• beltoxer.com
• benefasts-fhgs2.com
• beransraol.com
• bigbossbro777.com
• bintail.com
• biopranica.com
• boosterjuices.com
• boso6ka.com
• bulletproofdomai2n.com
• claudecodedoc.squarespace.com
• cleanmymacos.org
• coco2-hram.com
• coco-fun2.com
• contatoplus.com
• datasphere.us.com
• dialerformac.com
• do2wers.com
• domenpozh.net
• doqeers.com
• dryvecar.com
• ejecen.com
• famiode.com
• fastfilenext.com
• filefastdata.com
• ftduk.com
• futampako.com
• hacelu.com
• haploadpin.com
• hello-brothers777.com
• hilofet.com
• hitkrul.com
• honestly.ink
• isgilan.com
• jihiz.com
• joeyapple.com
• jpbassin.com
• kayeart.com
• kcbps.com
• kofeynayagush.com
• korovkamu.com
• lbarticle.com
• macclean.craft.me
• macos-disk-space.medium.com
• mac-storage-guide.squarespace.com
• malext.com
• malkim.com
• medoviypirog.com
• mentaorb.com
• metlafounder.com
• metramon.com
• metrikcs.com
• miappl.com
• mikulatur.com
• milbiorb.com
• molokotarelka.com
• nibelined.com
• nitlebuf.com
• octopixeldate.com
• octopox.com
• ouilov.com
• peloetwq71.com
• pelorso90la.com
• pepepupuchek13.com
• perewoisbb0.com
• persaniusdimonica8.com
• pewqpeee888.com
• pewweepor092.com
• pilautfile.com
• pipipoopochek6.com
• pissispissman.com
• pla7ina.cfd
• play67.cc
• poeooeowwo777.com
• ptrei.com
• quantumdataserver5.homes
• rapidfilevault4.cyou
• rapidfilevault4.sbs
• rapidfilevault5.sbs
• rawmrk.com
• raxelpak.com
• raytherrien.com
• reachnv.com
• rebidy.com
• reews09weersus.com
• repqoow77wiqi.com
• res2erch-sl0ut.com
• res2erch-sl2ut.com
• rhymbil.com
• rvdownloads.com
• saramoftah.com
• seagalnssteavens.com
• stclegion.com
• stinarosen.com
• swift-sh.com
• terafolt.com
• tmcnex.com
• trehlub.com
• uk176video.live
• us41web.live
• vagturk.com
• vcopp.com
• we2luck.com
• wewannaliveinpice.com
• wewannaliveinpicede.com
• woupp.com
• wriconsult.com
• wusetail.com
• xeebii.com
• yablochnisok.com

URLs

• http://138.124.93.32/contact
• http://168.100.9.122/contact
• http://199.217.98.33/contact
• http://38.244.158.103/contact
• http://38.244.158.56/contact
• http://92.246.136.14/contact
• http://paralegalmustang.icu/script.sh
• https://avipstudios.com/contact
• https://cauterizespray.icu/script.sh
• https://enslaveculprit.digital/script.sh
• https://joytion.com/contact
• https://kvrnjr30.apexharvestor.digital
• https://laislivon.com/contact
• https://lakhov.com/contact
• https://mpasvw.com/contact
• https://qjywvkbl.degassing-mould.digital
• https://resilientlimb.icu/script.sh
• https://round5on.digital/script.sh
• https://t.me/ax03bot
• https://thickentributary.digital/script.sh
• https://yygp4pdh.apexharvestor.digital
• https://zg5mkr7q.apexharvestor.digital

SHA256

• 241a50befcf5c1aa6dab79664e2ba9cb373cc351cb9de9c3699fd2ecb2afab05
• 522fdfaff44797b9180f36c654f77baf5cdeaab861bbf372ccfc1a5bd920d62e
• 7ca42f1f23dbdc9427c9f135815bb74708a7494ea78df1fbc0fc348ba2a161ae
• 9d2da07aa6e7db3fbc36b36f0cfd74f78d5815f5ba55d0f0405cdd668bd13767