В конце мая 2026 года специалисты Netskope Threat Labs зафиксировали обновлённую версию вредоносной кампании ClickFix, нацеленной на пользователей macOS. Если в апреле злоумышленники ограничивались похищением данных с помощью AppleScript-стилера, то в новой волне они внедрили полнофункциональный троян удалённого доступа (RAT). Атаки затронули преимущественно пользователей из Азии, Северной Америки и Океании, работающих в сферах технологий, медиа и деловых услуг. За две недели было задействовано 25 краткосрочных доменов-приманок, которые постоянно ротировались, чтобы избежать блокировки.
Описание
Техническая архитектура кампании практически полностью бесфайловая. Жертву с помощью социальной инженерии заставляют скопировать в буфер обмена команду curl, которая загружает сжатый скрипт-загрузчик и сразу передаёт его в память интерпретатора osascript. Ни один исполняемый файл не записывается на диск до момента установки механизма закрепления в системе. Единственные артефакты, появляющиеся в файловой системе, - это plist-файл и служебный бинарник, создаваемые уже после эксфильтрации данных.
Предоставленный анализ Netskope Telemetry показывает, что первый этап загрузчика включает проверку раскладки клавиатуры macOS. Если в системе активирован русский язык, скрипт немедленно завершается и отправляет на сервер управления событие cis_blocked. Этот фильтр позволяет атакующему избегать заражения компьютеров, принадлежащих русскоязычным пользователям, хотя телеметрия при этом всё равно уходит на C2-сервер. Такая геозонация прямо указывает на происхождение кампании: злоумышленники используют русский язык в комментариях кода и в инфраструктуре.
Второй этап полезной нагрузки - самодельный AppleScript-скрипт, который в своих метаданных именуется "Meow (DEBUG)". Он не был обнаружен на VirusTotal на момент публикации. Скрипт имитирует диалоговое окно системных настроек macOS с иконкой LockedIcon.icns и запрашивает у пользователя пароль учётной записи. Введённые данные проверяются легитимной утилитой dscl . authonly, после чего пароль используется для разблокировки связки ключей login.keychain-db. Таким образом злоумышленник получает доступ к защищённым ключам Safe Storage браузеров Chrome, Brave и Microsoft Edge.
После сбора паролей начинается кража данных из браузеров: файлов cookie, логинов, истории, данных автозаполнения. Поддерживаются все основные браузеры, включая Chrome, Firefox, Safari, Brave, Edge, Opera, Vivaldi и другие. Для каждого профиля Chromium копируются базы Login Data, Cookies, Web Data, Local Extension Settings и IndexedDB. У Firefox забираются cookies.sqlite, logins.json, key4.db и cert9.db. У Safari - Cookies.binarycookies, Form Values и History.db. Особый интерес представляет оперирование более чем ста идентификаторами расширений криптовалютных кошельков для браузера, включая MetaMask. Кроме того, атака целенаправленно выгружает каталоги 25 десктопных кошельков, таких как Exodus, Electrum, Atomic Wallet, Guarda, Coinomi, Sparrow, Wasabi, Bitcoin Core. Эти каталоги часто содержат незашифрованные сид-фразы и приватные ключи.
Помимо финансовых данных, вредонос собирает сессионные файлы Telegram (каталог tdata/), Discord (Local Storage/leveldb/) и Steam (config/loginusers.vdf). Также сканируются рабочий стол и папка Documents на предмет документов, ключей, JSON-файлов и изображений PNG. Отдельно копируется база Apple Notes из группового контейнера group.com.apple.notes. Все собранные данные упаковываются в zip-архив и отправляются на C2-сервер.
После завершения эксфильтрации начинается более агрессивный этап. Вредонос завершает процессы пяти популярных десктопных криптокошельков: Exodus, Atomic Wallet, Ledger Wallet, Ledger Live и Trezor Suite. Затем он загружает с C2 замену для файла app.asar внутри каждого приложения, перезаписывает его и принудительно подписывает исполняемый файл командой codesign -f -d -s. Это создаёт действительную, хоть и непроверенную, подпись, которая не вызывает предупреждений Gatekeeper. После перезапуска кошелька жертва продолжает им пользоваться, не подозревая, что все транзакции теперь проходят через модифицированный код злоумышленника.
Для долговременного доступа вредонос устанавливает системную задачу (LaunchDaemon) с меткой com.apple.accountsd, идентичной легитимному демону синхронизации учётных записей Apple. Если пароль получен, задача запускается от root, если нет - от пользователя (LaunchAgent). Служба каждые 60 секунд отправляет на C2 пульс с уникальным идентификатором хоста (IOPlatformUUID) и при получении команды с полем "code" скачивает, выполняет и сразу удаляет временный скрипт /tmp/.c.sh. Это даёт атакующему полное управление над машиной в режиме реального времени.
Кампания использует три варианта фишинговых страниц: поддельный сайт утилиты для оптимизации macOS (StellarScan Solutions), имитация репозитория GitHub и локализованная страница техподдержки на немецком языке, связанная с Берлином. Все страницы подгружают единый JavaScript-файл page-loader.js, который через Web Clipboard API копирует в буфер обмена команду запуска. Домены приманок зарегистрированы через одного и того же регистратора и проксируются через Cloudflare. Два C2-домена (qwqerrqwr2145qw[.]com и scope-quest[.]com) принадлежат тому же оператору.
Данная кампания демонстрирует эволюцию простых стилеров в полноценные трояны удалённого доступа, способные не только красть данные, но и компрометировать криптовалютные транзакции после заражения. Для защиты эксперты рекомендуют блокировать домены-приманки на уровне шлюзов, не запускать незнакомые команды в терминале и проверять наличие каталога /Library/Application Support/.com.apple.accountsd/ и plist-файлов com.apple.accountsd. Любое приложение-кошелёк на потенциально скомпрометированной системе следует переустановить из проверенного источника.
Индикаторы компрометации
Domains
- crystalfilehaven.com
- cyberdriftmatrix8.cyou
- cyberdriftmatrix9.cyou
- fileautumncastle.com
- filecedarcanvas.com
- filecobaltharbor.sbs
- filecopperforest.online
- fileivoryharbor.cyou
- filejadewallet.online
- filemintcastle.sbs
- fileopalvoyage.cyou
- filepearlsignal.com
- fileprairiestudio.com
- filesapphirecanvas.sbs
- filesapphiretower.cyou
- filesilverharbor.com
- meadowfileengine.com
- pa2373.com
- stellarnodegrid1.cyou
- stellarnodegrid8.cyou
- tensorforgegrid1.lol
- tensorforgegrid3.lol
- tensorforgegrid4.lol
- tensorforgegrid5.lol
URLs
- https://qwqerrqwr2145qw.com/api/bot/heartbeat
- https://qwqerrqwr2145qw.com/api/debug/event
- https://qwqerrqwr2145qw.com/atomic-asar
- https://qwqerrqwr2145qw.com/debug/payload.applescript?build=3447ad192726ee391881be6e86c7eeab
- https://qwqerrqwr2145qw.com/exodus-asar
- https://qwqerrqwr2145qw.com/gate
- https://qwqerrqwr2145qw.com/ledger-asar
- https://qwqerrqwr2145qw.com/ledgerlive-asar
- https://qwqerrqwr2145qw.com/trezor-asar
SHA256
- 29e6fa9e930b6b44fcafc768f5e0818fcb7b8682a367ff86a8072f74e2709584
- f122d596ac6f5bb26ec69ab5fa68506da71d0f72bba5533c913dedd0314855e7