За повідомленням Cryptopolitan від 11 травня, команда безпекових досліджень Microsoft Defender оприлюднила результати розслідування, виявивши, що атакувальники з кінця 2025 року публікували на Medium, Craft та інших платформах фальшиві гіди з усунення несправностей macOS, спонукаючи користувачів виконувати в терміналі шкідливі команди, що призводить до встановлення шкідливого ПЗ для викрадення ключів криптогаманців, даних iCloud і збережених у браузері паролів.
Механізм атаки: ClickFix обходить macOS Gatekeeper
Згідно зі звітом команди безпекових досліджень Microsoft Defender, атакувальники застосовують соціально-інженерну техніку під назвою ClickFix: на Medium, Craft і Squarespace вони публікують інструкції з усунення несправностей macOS, замасковані під реліз вивільнення дискового простору або виправлення системних помилок, і спонукають користувачів копіювати шкідливі команди та вставляти їх у macOS Terminal; після виконання команд шкідливе ПЗ автоматично завантажується та запускається.
За повідомленням Microsoft, цей спосіб обходить механізм безпеки macOS Gatekeeper, оскільки Gatekeeper перевіряє код під час виконання програм із застосунків, відкритих через Finder, через підпис коду та нотаріальну верифікацію, але спосіб, коли користувач безпосередньо виконує команди в Terminal, не підпадає під цей етап перевірки. Дослідники також з’ясували, що атакувальники використовують curl, osascript та інші нативні інструменти macOS для виконання шкідливого коду безпосередньо в пам’яті (безфайлові атаки), через що стандартним антивірусним рішенням складніше його виявляти.
Сімейства шкідливого ПЗ, масштаб викрадення та спеціальні механізми
Згідно зі звітом Microsoft, ця кампанія охоплює три сімейства шкідливого ПЗ (AMOS, Macsync, SHub Stealer) і три типи інсталятора (Loader, Script, Helper), а викрадені дані включають:
Ключі криптогаманців: Exodus, Ledger, Trezor
Облікові дані: iCloud, Telegram
Паролі, збережені в браузерах: Chrome, Firefox
Приватні файли та фото: локальні файли обсягом менше 2 MB
Після встановлення шкідливе ПЗ показує фальшиві діалогові вікна, що вимагають від користувача ввести пароль системи для встановлення «допоміжних інструментів»; якщо користувач вводить пароль, атакувальники отримують повний доступ до файлів і налаштувань системи. Microsoft також зазначила, що в деяких випадках атакувальники видаляють законні застосунки Trezor Suite, Ledger Wallet і Exodus, замінюючи їх версіями з вбудованим трояном для моніторингу транзакцій і викрадення коштів. Крім того, серед функцій шкідливого ПЗ є механізм завершення роботи: якщо виявляється розкладка клавіатури з російською, шкідливе ПЗ автоматично зупиняє виконання.
Супутні атаки та заходи захисту Apple
За результатами дослідження безпековиків ANY.RUN, Lazarus Group розпочала хакерську кампанію під назвою «Mach-O Man», використовуючи ті самі техніки, що й ClickFix: через підроблені запрошення на зустріч вони атакують фінтех- і криптовалютні компанії, де macOS є основною операційною системою.
Cryptopolitan також повідомляє, що корейська хакерська організація Famous Chollima використовує AI для генерації коду: згенеровані фрагменти впроваджують шкідливі npm-пакети в проєкти, пов’язані з криптовалютними транзакціями. Це шкідливе ПЗ використовує двошарову структуру обфускації, викрадаючи дані гаманців і конфіденційну інформацію системи.
За повідомленням, Apple додала в macOS 26.4 механізм захисту, який не дає змоги вставляти в термінал команди, позначені як потенційно шкідливі.
Поширені запитання
З яких моментів почалися ClickFix-атаки на macOS, розкриті Microsoft Defender, і на яких платформах їх публікували?
Згідно з повідомленнями команди безпекових досліджень Microsoft Defender і Cryptopolitan від 11 травня 2026 року, атакувальна активність розпочалася наприкінці 2025 року: зловмисники публікували фальшиві гіди з усунення несправностей macOS на Medium, Craft і Squarespace, спонукаючи користувачів Mac виконувати шкідливі команди в Terminal.
На які криптогаманці та типи даних орієнтувалася ця атака?
Згідно зі звітом Microsoft, шкідливе ПЗ (AMOS, Macsync, SHub Stealer) здатне викрадати ключі криптогаманців Exodus, Ledger і Trezor, а також дані облікових записів iCloud і Telegram, і паролі разом із іменами користувачів, збереженими в Chrome та Firefox.
Які заходи захисту Apple запровадила проти цього типу атак?
Згідно з повідомленням, Apple додала в macOS 26.4 механізм захисту, який блокує вставлення в macOS Terminal команд, позначених як потенційно шкідливі, щоб знизити ймовірність успіху соціально-інженерних атак типу ClickFix.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Південнокорейська FSI запускає інструмент верифікації безпеки смартконтрактів та просуває три проєкти
За даними Edaily, Південнокорейський Інститут фінансової безпеки (FSI) оголосив сьогодні про розробку спеціалізованого інструмента перевірки безпеки смартконтрактів і просуває три ключові ініціативи, зокрема побудову системи перевірки смартконтрактів та підготовку талантів у сфері цифрових активів. Інструмент автоматично виявлятиме основні вразливості в смартконтрактах, які використовуються для токенізованих цінних паперів, стейблкоїнів та інших сервісів цифрових активів, із фокусом на типах вра
GateNews45хв. тому
Розробник Wagyu заперечує шахрайство з XMR1, прояснює виведення коштів через термінал
За даними Foresight News, розробник Wagyu PerpetualCow уточнив, що власники токена XMR1 можуть виводити кошти через Terminal, а не через застарілий кросчейн UI, спростувавши нещодавні звинувачення в Rug Pull. Розробник заявив, що жоден користувач не повідомляв про збої під час виведення, а інтерфейс свопу вже містить вказівку на правильний спосіб виведення. Члени спільноти раніше висловлювали занепокоєння, що Wagyu схожий на Rug Pull: депозити XMR можуть бути заблоковані, а також були присутні і
GateNews2год тому
Напад на розгортання Renegade V1 у мережі Arbitrum: проєкт втрачає 209 тис. доларів; хакер із «білими капелюхами» повертає 190 тис. доларів
Згідно з офіційним повідомленням Renegade у X, протоколова спадкова розгортка V1 у Arbitrum була атакована сьогодні вранці (11 травня), що призвело до втрат приблизно на 209 000 доларів. Білий хакер повернув приблизно 190 000 доларів, а команда підтвердила, що всі постраждалі користувачі отримають повну компенсацію. Команда підтвердила, що вразливість існувала лише у розгортці V1 Arbitrum; розгортки V1 Base, V2 Arbitrum і V2 Base залишаються захищеними. Уся інфраструктура, що підтримує транзакці
GateNews3год тому
USDT0 оголошує механізм валідації 3/3 і програму bug bounty $6M після інциденту Kelp
Згідно з Foresight News, USDT0 — протокол взаємодії активів Tether — оголосив деталі безпекової архітектури після інциденту Kelp. Протокол використовує власну Децентралізовану Мережу Перевіряльників (DVN) з правом вето на повідомлення та вимагає трьох незалежних валідаторів на основі різних кодових баз, щоб досягти консенсусу 3/3, перш ніж розв’язуватимуться міжланцюгові повідомлення. Поточні вузли валідаторів включають власний DVN USDT0, LayerZero та Canary. USDT0 також запустив програму винаго
GateNews4год тому
Microsoft виявила фішингову кампанію в macOS, яка націлена на гаманці Exodus, Ledger і Trezor з кінця 2025 року
За даними команди досліджень безпеки Microsoft, починаючи з кінця 2025 року зловмисники поширюють фальшиві посібники з усунення проблем у macOS на платформах, зокрема Medium, Craft і Squarespace, щоб обманом змусити користувачів запускати шкідливі команди в терміналі. Ці команди завантажують і виконують шкідливе програмне забезпечення, створене для викрадення ключів криптовалютних гаманців із Exodus, Ledger і Trezor, а також даних iCloud і збережених паролів із Chrome та Firefox. До задіяних сім
GateNews4год тому
LayerZero приносить публічні вибачення за відповідь на інцидент експлуатації Kelp DAO, визнає провину в DVN із одним перевіряльником
За даними LayerZero, протокол у п’ятницю опублікував публічне вибачення за роботу з експлойтом 18 квітня, який вивів $292 мільйона rsETH із кросчейн-моста Kelp DAO, що стало суттєвою зміною тону порівняно з попереднім постмортемом. LayerZero визнав, що його Decentralized Verifier Network (DVN) не повинна була бути єдиним верифікатором для транзакцій високої вартості, заявивши: «Ми припустилися помилки, дозволивши нашому DVN діяти як 1/1 DVN для транзакцій високої вартості». Компанія розкрила, що
GateNews4год тому
