HackerangriffeMalwarePhishing

Lazarus-Gruppe zielt auf macOS-Nutzer ab: ClickFix-Attacken mit neuer Malware

Lazarus-Gruppe zielt auf macOS-Nutzer ab: ClickFix-Attacken mit neuer Malware
Zusammenfassung

Die nordkoreanische Lazarus-Gruppe nutzt eine neue Angriffsmasche namens „ClickFix", um macOS-Nutzer mit bislang unbekannter Malware ins Visier zu nehmen. Dabei werden Geschäftsführer und hochrangige Mitarbeiter über manipulierte Videokonferenzeinladungen auf gefälschten Websites gelockt, wo ihnen vorgespielt wird, Softwareprobleme lösen zu müssen. Die Angreifer überreden ihre Opfer, Befehle in der Kommandozeile einzugeben oder verdächtige Dateien auszuführen – eine Taktik, die traditionelle Sicherheitssysteme umgeht. Das Ziel sind insbesondere Fintech-Unternehmen, Kryptowährungsplattformen und Organisationen mit großem macOS-Bestand. Nach erfolgreicher Infizierung stiehlt die Malware „macrasv2" sensible Daten wie Browser-Cookies, Passwörter und Zugangstoken über den Messenger Telegram. Für deutsche Unternehmen stellt diese Kampagne ein erhebliches Risiko dar, besonders für Führungskräfte in der Finanzbranche. Experten warnen, dass ClickFix gerade deshalb so erfolgreich ist, weil es psychologische Manipulationstaktiken nutzt und echte Nutzeraktionen erfordert. Eine umfassende Schulung der Mitarbeiter sowie eine strikte Überwachung verdächtiger Befehle auf macOS-Systemen sind essentiell zur Abwehr dieser Bedrohung.

Die Lazarus-Gruppe, bekannt für hochsophistizierte staatlich gestützte Cyberangriffe, nutzt ein bewährtes Angriffsschema: Kontaktaufnahme über Telegram, gefälschte Geschäftsmeetings und die ClickFix-Technik als Einfallstor. Sicherheitsexperte Mauro Eldritch von Birmingham Cyber Arms dokumentiert in der Any.Run-Studie, wie die nordkoreanischen Akteure vorgehen.

Das Angriffsverfahren beginnt mit einer Nachricht über Telegram, oft von einer kompromittierten Kollegenseite. Der Angreifer lädt das Opfer zu einem angeblichen Video-Meeting ein und verspricht beispielsweise eine geschäftliche Chance oder ein Jobangebot. Während des Calls wird dem Nutzer mitgeteilt, dass Verbindungsprobleme nur durch das Ausführen eines Befehls zu lösen seien. Da der Benutzer den Befehl selbst eingibt, umgehen viele Sicherheitssysteme die Malware unerkannt.

Nach der Befehlsausführung wird eine scheinbar harmlose Datei namens etwa “teamsSDK.bin” heruntergeladen. Diese macOS-Anwendung installiert mehrere Malware-Stufen. Die zweite Komponente ist ein Systemprofilier, das Verbindung zu Kontroll-Servern aufbaut. Danach etabliert sich ein Persistierungsmechanismus, der die Malware bei jedem Login neu startet.

Das Kernstück ist die Stealer-Malware “macrasv2”, die Browser-Daten, gespeicherte Passwörter, Cookies und vor allem macOS-Keychain-Einträge sammelt. Diese sensiblen Daten werden über Telegram zu den Angreifern übertragen. Anschließend löscht sich die Malware selbst.

Interessanterweise ist macrasv2 fehlerhaft programmiert. Sicherheitsforscher entdeckten unvollständig implementierte Komponenten, Endlosschleifen, die Systemressourcen verschlingen, und schwache Operationssicherheit wie exposed Telegram-Tokens.

Experten warnen: ClickFix funktioniert nur, wenn Nutzer tatsächlich Befehle ausführen. Any.Run-CEO Aleksey Lapshin empfiehlt Organisationen, ihre Mitarbeiter intensiv zu schulen. Besonders macOS-Nutzer sollten sich vom Mythos befreien, dass Macs malwarefrei seien. Unternehmen sollten verdächtige Befehle wie curl, wget, osascript und bash monitoren und einschränken – eine Sicherheitspraxis, die bislang viele ignorieren.

Die Strategie der Lazarus-Gruppe nutzt eine elementare Schwachstelle: Der Mensch ist der schwächste Punkt. Während Perimeter-Sicherheit und E-Mail-Filter immer teurer werden, bietet die menschliche Interaktion den billigsten Einfallsweg mit höchster Erfolgsquote.

Ähnliche Artikel