Die Angreifer legen den Forschern zufolge gefälschte Recruiter-Profile in sozialen Medien und beruflichen Netzwerken an, sprechen Ziele unter dem Vorwand von Stellenangeboten direkt an und vereinbaren anschließend ein technisches Bewerbungsgespräch. Im Verlauf dieses Gesprächs fordert der vermeintliche Interviewer das Opfer auf, ein angebliches Zoom-SDK-Update mit dem Namen „Zoom SDK Update.scpt" zu installieren.
Dabei handelt es sich um eine kompilierte AppleScript-Datei, die sich unter macOS standardmäßig im Skripteditor öffnet. Der Nutzer wird dann angewiesen, auf die Schaltfläche zum Ausführen des Skripts zu klicken. Anders als bei Windows-orientierten ClickFix-Angriffen, die meist einen schädlichen Shell-Befehl in die Zwischenablage kopieren und das Opfer zum Einfügen verleiten, setzt diese macOS-Variante darauf, dass durch das Öffnen einer Datei beliebiger Code ausgeführt wird.
Das vermeintliche SDK-Update stößt eine mehrstufige Schadcode-Kette an, die über curl-Befehle mehrere AppleScript-Komponenten nachlädt. Dazu gehören ein Beacon zur Steuerung des Angriffs, Werkzeuge zum Abgreifen von Zugangsdaten, ein Datendieb, der es auf Wallets, Browser, Schlüsselbunde, den Verlauf, Apple Notes und Telegram abgesehen hat, mehrere Backdoors zur dauerhaften Verankerung sowie eine Täuschungsmeldung, die dem Nutzer den erfolgreichen Abschluss der Installation vorgaukelt.
Vor dem Abfluss der Daten umgeht die Schadcode-Kette zudem Apples Sicherheitsframework Transparency, Consent and Control (TCC), das die Zustimmung des Nutzers vor bestimmten Aktionen erzwingen soll. Dazu benennt der Angreifer eine zentrale, zum TCC-Prozess gehörende Datei um, bringt sie an einen Zwischenort und fügt einen neuen Eintrag in die Zugriffstabelle der Datenbank ein, sodass keine Nutzerabfrage mehr ausgelöst wird. Die veränderte Datenbank wird anschließend zurückkopiert und unter ihrem ursprünglichen Namen an den alten Speicherort verschoben.
Warum ClickFix so wirksam ist, erklärt Sherrod DeGrippo, General Manager für Global Threat Intelligence bei Microsoft, gegenüber Dark Reading: Nutzer seien daran gewöhnt, sich auf Fernwartung einzulassen – etwa auf Klick-Aufforderungen, das Herunterladen von Werkzeugen und das Befolgen von Anweisungen. Angreifer nutzten diese Vertrautheit aus, um schädliche Handlungen alltäglich erscheinen zu lassen und so im entscheidenden Moment die Skepsis des Opfers zu senken.
Zur Abwehr empfiehlt Microsoft Organisationen, Nutzer über Social-Engineering- und ClickFix-Angriffe aufzuklären, die Ausführung von .scpt-Dateien und unsignierten Mach-O-Binärdateien aus dem Internet zu blockieren oder einzuschränken, beim Kopieren und Einfügen sensibler Daten vorsichtig zu sein sowie Krypto-Wallets und in Browsern gespeicherte Zugangsdaten zu schützen. Der Blogbeitrag enthält zudem Indikatoren für eine Kompromittierung.
