Sophos-Recherche: macOS-Nutzer verstärkt im Visier von Social-Engineering-Attacken

ClickFix ist eine zunehmend verbreitete Social-Engineering-Technik, mit der Angreifer die Anwender dazu verleiten, schädliche Software auf ihren Geräten zu installieren. Im Gegensatz zu herkömmlichen, Exploit-basierten Angriffen basiert diese Methode vollständig auf der Interaktion des Benutzers – in der Regel in Form von Kopieren und Ausführen von Befehlen. Die Methode hat sich als besonders effektiv erwiesen, da sich Anwender der Auswirkungen bei der Ausführung unbekannter und verschleierter Terminalbefehle potenziell gar nicht bewusst ist. Im Gegensatz zu vielen anderen Phishing-Techniken ist eine Authentifizierung wie zum Beispiel FIDO2 kein wirksamer Schutz gegen ClickFix-Angriffe.

Drei neue ClickFix-Kampagnen für macOS gesichtet

In der Vergangenheit richteten sich ClickFix-Kampagnen hauptsächlich gegen Windows-Nutzer. Die Strategie scheint sich zu ändern, bereits im Juni 2025 beschrieben Forscher eine Malware-Kampagne, bei der eine Variante des Infostealers Atomic macOS (AMOS) zum Einsatz kam und macOS-spezifische Köder auf Basis von User-Agent-Strings verwendet wurden.

In den letzten drei Monaten tauchten bei den Sophos-Analysten drei weitere ClickFix-Kampagnen auf dem Radar auf, die mit dem Infostealer MacSync ganz gezielt auf macOS-Nutzer abzielten. Eine Zuordnung zu ein und demselben Angreifer ist nicht gesichert, aber etwas anderes fällt auf: eine deutliche Weiterentwicklung und Veränderung der Vorgehensweisen und Taktiken – möglicherweise als Reaktion auf Ermittlungs- und Abwehrmaßnahmen, aber vielleicht auch als Reaktion auf technologische Trends.

Evolution oder Revolution?

Die drei analysierten Kampagnen zeigen eine Vielzahl neuer Taktiken und einige Änderungen gegenüber dem traditionellen ClickFix-Modell. Während alle drei Operationen in gewisser Weise den Einsatz von GenAI-bezogenen Ködern nutzten, stellt die Verlagerung von bösartigen Websites, die sich als bekannte legitime Unternehmen ausgeben, hin zu ChatGPT-Konversationen eine interessante Veränderung im Bereich Social Engineering dar und führt so einen neuen Angriffswinkel ein.

Mehr Risiken durch ChatGPT-Kommunikation

Während Warnungen über die Risiken bösartiger Websites mit scheinbar legitimem Anstrich mittlerweile eine hohe Präsenz haben, bringt der durchschnittliche Nutzer Kommunikationsplattformen wie ChatGPT oftmals noch nicht mit potenziellen Cybergefahren in Verbindung. Gerade deshalb eröffnet die Veränderung der technologischen Landschaft hin zur Nutzung von LLMs und agentenbasierter KI ein neues Spielfeld für Bedrohungsakteure, wie die aktuellen ClickFix-Kampagnen deutlich machen.

Die bei einer der untersuchten Kampagnen festgestellte Payload-Attacke ist ein weiteres Beispiel für eine signifikante Änderung der Angriffstaktiken. Enthielten frühere MacSync-Builds von ClickFix native MachO-Binärdateien, zeichnet sich die jüngste Variante durch ein mehrstufiges Loader-as-a-Service-Modell, dynamische AppleScript-Payloads und eine aggressive In-Memory-Ausführung aus – einschließlich der Fähigkeit, legitime Binärdateien zu patchen, anstatt einfach nur Anmeldedaten und Schlüssel abzugreifen. Diese Veränderung deutet darauf hin, dass sich die Malware-Entwickler an das Betriebssystem und seine Sicherheitsmaßnahmen angepasst haben, und sich das Risiko eines Angriffs für macOS-Benutzer somit weiter erhöht.

Sicherheitsmythos bei macOS bröckelt weiter

„Früher galt die vorherrschende Meinung, dass macOS-Systeme im Vergleich zu Windows-Systemen einem geringeren Risiko für Malware-Infektionen ausgesetzt seien, da es über eine Reihe nativer Sicherheitsfunktionen verfügt, die Angreifer dazu zwangen, technisch anspruchsvolle Techniken anzuwenden“, so Michael Veit, Cybersecurtiy-Experte bei Sophos. „Das ist heute nicht mehr der Fall. Mainstream-Malware betrifft mittlerweile regelmäßig macOS-Nutzer – insbesondere Infostealer, die einen erheblichen Teil aller macOS-Angriffe ausmachen. Aktuelle Kampagnen wie die immer raffinierteren Payload- und ClickFix-Attacken machen deutlich, dass sich dieser Bereich rasant weiterentwickelt.“

Der komplette, technisch vertiefende und mit Screenshots ausgestatte Beitrag ist im englischsprachigen Sophos Blog zu finden.