HackerangriffeMalwareDatenschutz

Nordkoreanische Hacker nutzen AppleScript und ClickFix für Angriffe auf macOS-Nutzer

Nordkoreanische Hacker nutzen AppleScript und ClickFix für Angriffe auf macOS-Nutzer
Zusammenfassung

Nordkoreanische Hacker führen gezielt Angriffe auf macOS-Nutzer durch, insbesondere in Finanzorganisationen wie Kryptowährungsbörsen, Venture-Capital-Firmen und Blockchain-Unternehmen. Die Cyberkriminellen nutzen dabei zwei raffinierte Angriffsmethoden: Die sogenannte ClickFix-Technik, bei der Opfer über gefälschte Videokonferenz-Seiten dazu gebracht werden, schädliche Befehle in das Terminal zu kopieren, sowie AppleScript-basierte Angriffe, die sich als Job-Interview-Prozesse tarnen. In beiden Fällen zielt die Malware darauf ab, sensible Daten wie Zugangsdaten, Kryptowallet-Informationen, SSH-Schlüssel und Keychain-Einträge zu stehlen und über Telegram abzuleiten. Für deutsche Unternehmen und Institutionen im Finanzsektor stellt dies ein erhebliches Risiko dar, da nordkoreanische Hacker vermehrt international tätig sind. Besonders gefährdet sind Mitarbeiter in Führungspositionen, die über Telegram mit gefälschten Meeting-Einladungen von vermeintlich bekannten Kontakten kontaktiert werden. Deutsche Behörden und Finanzunternehmen sollten ihre Mitarbeiter daher verstärkt für Social-Engineering-Techniken sensibilisieren und strenge Protokolle für die Installation von Software etablieren.

Cybersicherheitsexperten haben eine neue Welle von Angriffen auf macOS-Systeme entdeckt, die eindeutig von nordkoreanischen Hackern stammt. Die Angreifer konzentrieren sich auf Finanzunternehmen, insbesondere solche, die im Kryptowährungs-, Venture-Capital- oder Blockchain-Sektor tätig sind. Die Kampagnen zeichnen sich durch raffinierte Social-Engineering-Techniken aus, die es den Angreifern ermöglichen, tiefe Systempenetration zu erzielen.

Die erste identifizierte Kampagne nutzt die ClickFix-Methode, um macOS-Nutzer zu täuschen. Dabei werden Opfer über Telegram kontaktiert – häufig mit gefälschten Besprechungseinladungen, die von gehackten Konten von Personen stammen, die dem Ziel bekannt sind. Die Opfer werden auf Websites weitergeleitet, die Zoom, Microsoft Teams oder Google Meet imitieren, und sollen angeblich ein Verbindungsproblem durch Eingabe eines Befehls im Terminal beheben. Dieser Befehl führt zur Installation von Go-basierten Mach-O-Binaries aus dem Malware-Kit “Mach-O Man”.

Die zweite Kampagne wird der Hackergruppe Sapphire Sleet zugeordnet, die seit mindestens 2020 aktiv ist und staatlich unterstützt wird. Sie nutzt eine andere Methode: Fake-Recruiter-Profile auf Online-Plattformen locken Opfer zu gefälschten technischen Interviews. Dort werden die Ziele aufgefordert, vermeintliche Videokonferenz-Tools oder SDK-Updates zu installieren. Diese sind tatsächlich als AppleScript kompilierte Dateien, die sich automatisch im macOS Script Editor öffnen und eingebettete Shell-Befehle ausführen.

Bei beiden Angriffstypen ist das Ziel identisch: Diebstahl hochsensibler Daten. Die Malware erfasst Systemzugriffsdaten, installierte Anwendungen, Telegram-Metadaten, Browser-Profile mit Passwort-Datenbanken, Keychain-Einträge, Kryptowallet-Informationen, SSH-Schlüssel, Shell-Historie, die Apple-Notes-Datenbank und Systemprotokolle. Die komplexe Infektionskette besteht aus mehreren AppleScript-Payloads und zielt auf Persistenz und Rechteausweitung ab.

Deutsche Finanzunternehmen und besonders solche mit Kryptowährungs-Fokus sollten ihre Sicherheitsmaßnahmen überprüfen. Empfohlen werden verstärkte Schulungen für Mitarbeiter zur Erkennung von Social-Engineering-Angriffen, regelmäßige Überprüfung von macOS-Sicherheitseinstellungen und Monitoring von verdächtigem Terminal-Aktivitäten.

Ähnliche Artikel