Im Unterschied zu früheren ClickFix-Angriffen mit DMG-Dateien setzt die von Palo Alto Networks beobachtete Kampagne nicht darauf, dass Opfer eine heruntergeladene Disk-Image-Datei manuell öffnen. Stattdessen kombiniert sie beide Vorgehensweisen: Der über Terminal eingefügte Befehl lädt die DMG-Datei im Hintergrund herunter und startet danach direkt die darin enthaltene Anwendung.

Konkret lädt der Befehl nach Angaben von Unit 42 eine schädliche DMG-Datei mit curl und den stillen Parametern „-fsSL“ von svs-verificationdate[.]beer herunter. Gespeichert wird sie unter einem zufälligen Dateinamen im Verzeichnis /tmp. Anschließend führt der Befehl „hdiutil attach -nobrowse“ aus, um das Disk-Image einzubinden, ohne es im Finder oder auf dem Schreibtisch sichtbar zu machen.

Danach durchsucht das Skript bis zu drei Verzeichnisebenen tief die eingebundene Datei nach dem ersten verfügbaren .app- oder .pkg-Installer. Wird etwas gefunden, startet macOS die Datei mit dem open-Befehl automatisch. Die Forscher beobachteten dabei eine Disk-Image-Datei namens „s.01M0td.dmg“, die ein Volume mit dem selbst signierten Anwendungsbündel „NNApp.app“ einband.

Bei der Nutzlast handelt es sich um eine Variante des Atomic macOS Stealer. Laut Palo Alto Networks stiehlt die Malware Zugangsdaten, den Browserverlauf, Authentifizierungs-Token und Daten aus Kryptowallets. Zusätzlich blendet sie eine gefälschte Authentifizierungsabfrage der Systemeinstellungen ein, um Nutzer zur Eingabe ihres Passworts zu bewegen und dieses ebenfalls abzugreifen.

Die Malware nimmt laut den Forschern acht Chromium-basierte Browser ins Visier: Google Chrome, Microsoft Edge, Brave, Opera, Arc, Vivaldi, CocCoc und Yandex. Ausgelesen werden Cookies, Login-Datenbanken, Autofill-Informationen, gespeicherte Zahlungskarten und Browser-Profildaten. Außerdem zielt der Stealer auf Firefox-Abkömmlinge wie LibreWolf, SeaMonkey, Tor Browser, Waterfox und Zen Browser und entwendet dort dieselben Datentypen.

Hinzu kommen Daten aus Kryptowallets, darunter Exodus, Electrum, Atomic Wallet, Wasabi Wallet, Bitcoin Core, Litecoin Core, DashCore, Guarda, Binance Wallet, Dogecoin Wallet und TonKeeper. Ebenfalls erfasst werden laut Palo Alto Telegram-Desktop- und Discord-Daten, Datenbanken aus Apple Notes, Safari-Cookies, Datenbankdateien der Apple Keychain sowie Nutzerdokumente mit den Endungen PDF, TXT und RTF.

Alle gesammelten Daten werden den Forschern zufolge in ein ZIP-Archiv gepackt und auf den Server der Angreifer hochgeladen. Als Kommando-und-Kontroll-Server beobachtete die Kampagne svs-verificationdate[.]beer und 196.251.107[.]171. Besonders auffällig war für die Forscher außerdem, dass die Malware legitime Installationen von Ledger Live und Trezor Suite durch schädliche Versionen ersetzt. Laut Palo Alto Networks geschieht das wahrscheinlich mit dem Ziel, Kryptowährungen zu stehlen.