Die betrügerischen Seiten enthalten seriös wirkende Anweisungen zur Systembereinigung, nutzen jedoch das URL-Schema applescript://, um den Script Editor mit bereits vorausgefülltem, ausführbarem Code zu öffnen.
Der eingeschleuste Code führt einen verschleierten Befehl der Form „curl | zsh" aus, der ein Skript herunterlädt und direkt im Arbeitsspeicher ausführt. Dabei wird eine mit base64 und gzip kodierte Nutzlast dekodiert und eine Binärdatei nach /tmp/helper geladen. Anschließend entfernt der Befehl „xattr -c" die Sicherheitsattribute der Datei, macht sie ausführbar und startet sie.
Bei der finalen Nutzlast handelt es sich um eine Mach-O-Binärdatei, die als Atomic Stealer (AMOS) identifiziert wurde. Dabei handelt es sich um eine als Malware-as-a-Service angebotene Schadsoftware, die im vergangenen Jahr ausgiebig in ClickFix-Kampagnen mit unterschiedlichsten Ködern eingesetzt wurde.
Die Schadsoftware hat ein breites Spektrum sensibler Daten im Visier: Informationen aus dem Keychain, vom Schreibtisch und aus Krypto-Wallet-Erweiterungen im Browser sowie Autofill-Daten, Passwörter, Cookies, gespeicherte Kreditkartendaten und Systeminformationen. Im vergangenen Jahr erhielt AMOS zudem eine Backdoor-Komponente, die den Betreibern dauerhaften Zugriff auf kompromittierte Systeme verschafft.
Während die Terminal-basierte Variante bereits breit dokumentiert ist, führte Apple mit macOS Tahoe 26.4 einen Schutz gegen ClickFix-Angriffe ein: Beim Versuch, Befehle auszuführen, erscheint eine Warnung.
Mac-Nutzer sollten Aufforderungen des Script Editors als hochriskant einstufen und entsprechende Skripte nur ausführen, wenn sie deren Funktion vollständig verstehen und der Quelle vertrauen. Für Anleitungen zur Fehlerbehebung empfehlen die Forscher, sich ausschließlich auf die offizielle Dokumentation von Apple zu stützen.
