Die ClickFix-Angriffe haben sich zu einer der gefährlichsten Bedrohungen des Jahres 2026 entwickelt. Im Unterschied zu traditionellen Exploit-basierten Attacken setzen diese Kampagnen vollständig auf menschliche Interaktion – insbesondere auf das Kopieren und Ausführen obfuskierter Terminal-Befehle. Diese Methode ist verhältnismäßig einfach, aber äußerst wirksam, da Sicherheitssoftware solche nutzergesteuerten Aktionen schwer blockieren kann.
Bislang sind mindestens drei verschiedene ClickFix-Kampagnen dokumentiert, die als Verteilungskanal für MacSync fungieren. Es ist noch nicht geklärt, ob diese vom selben Threat-Actor stammen. Die Angreifer haben ihre Taktik inzwischen verfeinert: Sie missbrauchen das Vertrauen, das Nutzer gegenüber legitimalen KI-Tools wie ChatGPT entgegenbringen, und geben sich als deren Installer aus. Nach dem Ausführen des Terminal-Befehls wird ein Shell-Script geladen, das sich mit einem festcodierten Server verbindet und den AppleScript-basierten Infostealer lädt – während gleichzeitig Spuren der Datenabzweigung verwischt werden.
MacSync ist in der Lage, ein breites Spektrum sensibler Daten zu stehlen: Anmeldedaten, Dateien, Keychain-Datenbanken und sogar Seed-Phrasen von Kryptowallet-Konten. Besonders perfide ist die Strategie gegenüber Entwicklern: Diese sind daran gewöhnt, Befehle wie curl | sh auszuführen – ein legitimes Installationsmuster für Tools wie Homebrew, Rust oder nvm. Die bösartigen Befehle verstecken sich quasi in dieser Routine.
Rapid7-Forscher haben zudem aufgedeckt, dass über 250 vertrauenswürdige WordPress-Websites in mindestens 12 Ländern – darunter Deutschland – gehackt und als Verbreitungsvektoren missbraucht wurden. Diese Seiten werden mit gefälschten Cloudflare-Verifizierungen versehen, um Nutzer zum Ausführen bösartiger PowerShell-Befehle zu verleiten. Die Seiten werden mit verschiedenen Stealern infiziert: StealC, Vidar, Impure Stealer und VodkaStealer.
Sicherheitsexperten warnen vor einer Welle von mindestens 20 distinkten Malware-Kampagnen, die zwischen Februar und März 2026 AI- und Coding-Tools als Köder nutzen. Neun dieser Kampagnen betreffen Windows und macOS, sieben zielten ausschließlich auf macOS-Nutzer ab – denn diese verfügen tendenziell über wertvollere Anmeldedaten und Kryptowährungen.
Zum Schutz empfehlen Sicherheitsexperten, WordPress-Websites stets aktuell zu halten, starke Passwörter zu verwenden und Zwei-Faktor-Authentifizierung zu aktivieren. Nutzer sollten einen Zero-Trust-Ansatz verfolgen und kritisch bleiben gegenüber Installation angefordernden Befehlen – selbst wenn diese von vermeintlich vertrauenswürdigen Quellen kommen.