Laut Cryptopolitan vom 11. Mai hat das Sicherheitsteam von Microsoft Defender die Ergebnisse seiner Untersuchung veröffentlicht. Dabei stellte es fest, dass Angreifer seit Ende 2025 auf Plattformen wie Medium und Craft gefälschte macOS-Fehlerbehebungsanleitungen veröffentlicht haben, um Nutzer dazu zu verleiten, bösartige Befehle im Terminal auszuführen und so bösartige Software zu installieren, die Krypto-Wallet-Schlüssel, iCloud-Daten sowie in Browsern gespeicherte Passwörter stiehlt.
Angriffsmechanismus: ClickFix umgeht macOS Gatekeeper
Laut dem Bericht des Microsoft Defender-Sicherheitsteams nutzt der Angreifer eine als ClickFix bekannte Social-Engineering-Technik: Auf Plattformen wie Medium, Craft und Squarespace werden macOS-Fehlerbehebungsanleitungen veröffentlicht, die so gestaltet sind, als würden sie Speicherplatz freigeben oder Systemfehler beheben. Sie sollen Nutzer dazu bringen, bösartige Befehle zu kopieren und in das macOS Terminal einzufügen. Nach der Ausführung lädt der Befehl automatisch die Schadsoftware herunter und startet sie.
Laut dem Microsoft-Bericht umgeht diese Vorgehensweise den Sicherheitsmechanismus von macOS Gatekeeper. Der Grund: Gatekeeper prüft Code-Signaturen und notarielle Bestätigungen für Anwendungen, die über den Finder geöffnet werden, aber der Weg, wie Nutzer Befehle direkt im Terminal ausführen, unterliegt diesem Prüf-Schritt nicht. Die Forschenden stellten zudem fest, dass Angreifer curl, osascript und andere native macOS-Tools verwenden, um bösartigen Code direkt im Speicher auszuführen (Dateiloser Angriff), wodurch Standard-Antiviren-Tools schwerer erkennen können.
Schadsoftware-Familien, Diebstahlumfang und spezielle Mechanismen
Laut dem Microsoft-Bericht umfasst diese Angriffsaktivität drei Schadsoftware-Familien (AMOS, Macsync, SHub Stealer) sowie drei Arten von Installationsprogrammen (Loader, Script, Helper). Zu den gestohlenen Zieldaten gehören:
Krypto-Wallet-Schlüssel: Exodus, Ledger, Trezor
Kontoanmeldedaten: iCloud, Telegram
Im Browser gespeicherte Passwörter: Chrome, Firefox
Private Dateien und Fotos: lokale Dateien mit weniger als 2 MB
Nach der Installation zeigt die Schadsoftware gefälschte Dialogfelder an, die den Nutzer auffordern, das Systemkennwort einzugeben, um „Hilfswerkzeuge“ zu installieren. Wenn der Nutzer das Kennwort eingibt, kann der Angreifer vollständigen Zugriff auf Dateien und Systemkonfigurationen erlangen. Microsoft berichtet außerdem, dass Angreifer in manchen Fällen die legitimen Anwendungen Trezor Suite, Ledger Wallet und Exodus löschen und sie durch Versionen ersetzen, die einen Trojaner enthalten, um Transaktionen zu überwachen und Gelder zu stehlen. Darüber hinaus enthält die von der oben genannten Schadsoftware geladene Komponente einen Kill Switch: Erkennt sie ein russisches Tastaturlayout, stoppt die Schadsoftware die Ausführung automatisch.
Zugehörige Angriffsaktivitäten und Apples Schutzmaßnahmen
Laut einer Untersuchung von ANY.RUN-Sicherheitsforschern hat die Lazarus Group eine Hacker-Aktivität namens „Mach-O Man“ gestartet. Dabei werden dieselben Techniken wie bei ClickFix verwendet, um über gefälschte Meeting-Einladungen anzugreifen und dabei vor allem Finanztechnologie- und Krypto-Unternehmen mit macOS als Hauptbetriebssystem zu ins Visier zu nehmen.
Cryptopolitan berichtet außerdem, dass die nordkoreanische Hackergruppe Famous Chollima mithilfe von KI Code generiert und bösartige npm-Pakete in Krypto-Handelsprojekte einschleust. Diese Schadsoftware nutzt eine zweistufige Verschleierungsarchitektur und stiehlt Wallet-Daten sowie Systemgeheimnisse.
Laut Bericht hat Apple in der macOS-26.4-Version neue Schutzmechanismen ergänzt, die verhindern, dass als potenziell bösartig markierte Befehle in das macOS-Terminal eingefügt werden.
Häufige Fragen
Seit wann begann die von Microsoft Defender offengelegte ClickFix-macOS-Angriffsaktivität und auf welchen Plattformen wurde sie veröffentlicht?
Laut dem Bericht des Microsoft Defender-Sicherheitsteams und Cryptopolitan vom 11. Mai 2026 begann die Angriffsaktivität Ende 2025, als die Angreifer damit starteten, gefälschte macOS-Fehlerbehebungsanleitungen auf Plattformen wie Medium, Craft und Squarespace zu veröffentlichen. So sollten Mac-Nutzer dazu gebracht werden, bösartige Terminal-Befehle auszuführen.
Welche Krypto-Wallets und Datentypen werden bei dieser Angriffsaktivität ins Visier genommen?
Laut dem Microsoft Defender-Bericht können die beteiligten Schadprogramme (AMOS, Macsync, SHub Stealer) Krypto-Wallet-Schlüssel von Exodus, Ledger und Trezor stehlen, außerdem Kontodaten von iCloud und Telegram sowie Benutzernamen und Passwörter, die in Chrome und Firefox gespeichert sind.
Welche Schutzmaßnahmen hat Apple für diese Art von Angriffen eingeführt?
Laut dem Bericht hat Apple in der macOS-26.4-Version einen Schutzmechanismus ergänzt, der verhindert, dass als potenziell bösartig markierte Befehle in das macOS-Terminal eingefügt werden. Dadurch soll die Erfolgsrate von Social-Engineering-Angriffen vom Typ ClickFix gesenkt werden.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
Südkoreas FSI startet ein Tool zur Sicherheitsüberprüfung von Smart Contracts und treibt drei Projekte voran
Laut Edaily hat das Financial Security Institute (FSI) in Südkorea heute die Entwicklung eines speziellen Tools zur Smart-Contract-Sicherheitsprüfung angekündigt und verfolgt drei große Initiativen, darunter den Aufbau eines Systems zur Smart-Contract-Verifizierung sowie die Förderung von digitalem-Asset-Talenten. Das Verifizierungstool wird wichtige Schwachstellen in Smart Contracts erkennen, die für Token-Wertpapiere, Stablecoins und andere digitale-Asset-Dienste verwendet werden, mit Fokus au
GateNews45M her
Wagyu-Entwickler bestreitet XMR1-Rug-Pull, klärt Abhebungen über Terminal auf
Laut Foresight News hat der Wagyu-Entwickler PerpetualCow klargestellt, dass Inhaber der XMR1-Token ihre Gelder über Terminal abziehen können, statt über die Legacy-Interaktion für Cross-Chain-UI, und damit aktuelle Rug-Pull-Vorwürfe zurückgewiesen. Der Entwickler erklärte, dass es keine Nutzerberichte über fehlgeschlagene Auszahlungen gebe und die Swap-Oberfläche bereits die korrekte Abhebemethode angibt. Zuvor hatten Community-Mitglieder Bedenken geäußert, dass Wagyu einem Rug Pull ähnele, wob
GateNews2Std her
Renegade V1-Deployment auf Arbitrum angegriffen, erleidet einen Verlust von 209.000 US-Dollar; White-Hat-Hacker gibt 190.000 US-Dollar zurück
Laut der offiziellen Stellungnahme von Renegade auf X wurde die Legacy-V1-Arbitrum-Implementierung des Protokolls heute Morgen (11. Mai) angegriffen, was zu Verlusten von ungefähr 209.000 US-Dollar führte. Ein White-Hat-Hacker hat etwa 190.000 US-Dollar zurückgegeben, und das Team bestätigte, dass alle betroffenen Nutzer eine vollständige Entschädigung erhalten werden. Das Team bestätigte, dass die Schwachstelle nur in der V1-Arbitrum-Implementierung vorhanden war; V1 Base, V2 Arbitrum und V2 Ba
GateNews3Std her
USDT0 kündigt einen 3/3-Validierungsmechanismus und das $6M -Bug-Bounty-Programm nach dem Kelp-Vorfall an
Laut Foresight News gab USDT0, das Asset-Interoperabilitätsprotokoll von Tether, Sicherheitsarchitektur-Details bekannt, nachdem es zum Kelp-Vorfall gekommen war. Das Protokoll nutzt ein proprietäres Decentralized Verifier Network (DVN) mit Vetorechten bei Nachrichten und erfordert drei unabhängige Validatoren auf Basis unterschiedlicher Codebasen, um vor dem Abschluss von Cross-Chain-Nachrichten einen 3/3-Konsens zu erreichen. Aktuelle Validator-Node-Teilnehmer umfassen das proprietäre DVN von
GateNews4Std her
Microsoft entdeckt eine macOS-Phishing-Kampagne, die seit Ende 2025 Exodus-, Ledger- und Trezor-Wallets ins Visier nimmt
Laut dem Sicherheitsteam von Microsoft verteilen Angreifer seit Ende 2025 gefälschte macOS-Fehlerbehebungsanleitungen auf Plattformen einschließlich Medium, Craft und Squarespace, um Nutzer dazu zu verleiten, schädliche Terminalbefehle auszuführen. Die Befehle laden Malware herunter und führen sie aus, die entwickelt wurde, um Kryptokontowallet-Schlüssel aus Exodus, Ledger und Trezor zu stehlen – sowie iCloud-Daten und gespeicherte Passwörter aus Chrome und Firefox. Zu den beteiligten Malware-Fa
GateNews4Std her
LayerZero veröffentlicht eine öffentliche Entschuldigung für die Reaktion auf den Kelp-DAO-Exploit und gesteht einen Fehler bei der DVN-Einzel-Verifizierer-Konfiguration ein
Laut LayerZero hat das Protokoll am Freitag eine öffentliche Entschuldigung für den Umgang mit dem Exploit vom 18. April ausgesprochen, bei dem 292 Millionen US-Dollar in rsETH aus der plattformübergreifenden Bridge von Kelp DAO abgezogen wurden. Damit markierte es einen deutlichen Stimmungswechsel gegenüber seinem früheren Post-Mortem. LayerZero räumte ein, dass sein Decentralized Verifier Network (DVN) nicht als alleiniger Verifizierer für Transaktionen mit hohem Wert hätte dienen dürfen, und
GateNews4Std her
