Как сообщал Cryptopolitan 11 мая, команда по безопасности Microsoft Defender обнародовала результаты расследования, согласно которым злоумышленники с конца 2025 года размещали на Medium, Craft и других платформах фальшивые руководства по устранению неполадок macOS. Эти материалы побуждали пользователей выполнять вредоносные команды в терминале, что приводило к установке вредоносного ПО для кражи ключей криптокошельков, данных iCloud и сохранённых в браузере паролей.
Механизм атаки: ClickFix в обход macOS Gatekeeper
По данным отчёта команды по безопасности Microsoft Defender, злоумышленники использовали социально-инженерную технику под названием ClickFix: размещали на Medium, Craft и Squarespace фальшивые руководства по устранению неполадок macOS, выдавая их за инструкции по освобождению дискового пространства или исправлению системных ошибок. Пользователям предлагалось копировать вредоносные команды и вставлять их в macOS Terminal; после выполнения команд вредоносное ПО автоматически загружалось и запускалось.
Согласно сообщению Microsoft, этот подход обходит защитный механизм macOS Gatekeeper, поскольку Gatekeeper предназначен для проверки кода с помощью подписи и нотариального удостоверения при запуске приложений через Finder, тогда как выполнение команд напрямую в Terminal не подчиняется этому этапу проверки. Исследователи также обнаружили, что атакующие используют curl, osascript и другие нативные инструменты macOS для выполнения вредоносного кода непосредственно в памяти (безфайловая атака), из-за чего стандартным антивирусам сложнее его обнаружить.
Семейства вредоносного ПО, воровские цели и особые механизмы
Согласно отчёту Microsoft, эта активность включает три семейства вредоносного ПО (AMOS, Macsync, SHub Stealer) и три типа установщиков (Loader, Script, Helper). В число похищаемых целевых данных входят:
Ключи криптокошельков: Exodus, Ledger, Trezor
Учётные данные: iCloud, Telegram
Сохранённые в браузере пароли: Chrome, Firefox
Личные файлы и фотографии: локальные файлы менее 2 MB
После установки вредоносное ПО отображает фальшивые диалоговые окна, требуя от пользователя ввести системный пароль для установки «вспомогательного инструмента». Если пользователь вводит пароль, атакующий получает полный доступ к файлам и системным настройкам. Microsoft также отмечает, что в некоторых случаях злоумышленники удаляют легитимные приложения Trezor Suite, Ledger Wallet и Exodus и заменяют их версиями с встраиванием трояна для мониторинга транзакций и кражи средств. Кроме того, загружаемые указанным вредоносным ПО программы включают выключатель: при обнаружении русской раскладки клавиатуры вредоносное ПО автоматически прекращает выполнение.
Связанные атаки и меры защиты Apple
По данным расследования специалистов ANY.RUN, Lazarus Group запустила хакерскую кампанию под названием «Mach-O Man», применяя те же техники, что и ClickFix: через фальшивые приглашения на встречи она нацеливалась на компании в сфере финтеха и криптовалют, где macOS является основным рабочим устройством.
Cryptopolitan также сообщал, что северокорейская хакерская группа Famous Chollima использует AI для генерации кода, внедряя вредоносные npm-пакеты в проекты криптовалютных торговых систем. Это вредоносное ПО использует двухслойную архитектуру обфускации и похищает данные кошельков и конфиденциальную информацию системы.
Как сообщается, Apple добавила защитный механизм в версии macOS 26.4, который препятствует вставке в macOS Terminal команд, помеченных как потенциально вредоносные.
Частые вопросы
С какого момента началась ClickFix-атака на macOS, раскрытая Microsoft Defender, и где она была опубликована?
По данным сообщения команды по безопасности Microsoft Defender и Cryptopolitan от 11 мая 2026 года, активность началась в конце 2025 года: злоумышленники размещали на Medium, Craft и Squarespace фальшивые руководства по устранению неполадок macOS, чтобы побудить пользователей Mac выполнять вредоносные команды в Terminal.
На какие криптокошельки и типы данных нацелена эта атака?
Согласно отчёту Microsoft, вредоносное ПО (AMOS, Macsync, SHub Stealer) может похищать ключи криптокошельков Exodus, Ledger и Trezor, данные учётных записей iCloud и Telegram, а также имена пользователей и пароли, сохранённые в Chrome и Firefox.
Какие меры защиты Apple выпустила против этого типа атак?
По сообщениям, Apple добавила защитный механизм в версии macOS 26.4, который блокирует вставку в macOS Terminal команд, помеченных как потенциально вредоносные, чтобы снизить вероятность успеха социально-инженерных атак типа ClickFix.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Платформа FSI из Южной Кореи запустила инструмент для проверки безопасности смарт-контрактов и продвигает три проекта
Как сообщает Edaily, сегодня Институт финансовой безопасности Южной Кореи (FSI) объявил о разработке специализированного инструмента для проверки безопасности смарт-контрактов и продвигает три ключевые инициативы, включая создание системы верификации смарт-контрактов и развитие цифровых активов и профильных специалистов. Инструмент проверки будет автоматически выявлять ключевые уязвимости в смарт-контрактах, используемых для токенизированных ценных бумаг, стейблкоинов и других сервисов цифровых
GateNews44м назад
Разработчик Wagyu опроверг скам-переклад XMR1, уточнив выводы через Terminal
В ответ на заявления Foresight News разработчик Wagyu PerpetualCow пояснил, что держатели токена XMR1 могут выводить средства через Terminal, а не через устаревший кроссчейн-интерфейс, опровергнув недавние обвинения в Rug Pull. Разработчик отметил, что никто из пользователей не сообщал о сбоях при выводе, а в интерфейсе свопа уже указан правильный способ вывода. Ранее участники комьюнити выражали опасения, что Wagyu похож на Rug Pull: депозиты XMR могут быть заблокированы, а также присутствуют и
GateNews2ч назад
Атака на развёртывание Renegade V1 в Arbitrum: потери $209 тыс.; белый хакер возвращает $190 тыс.
Согласно официальному заявлению Renegade в X, протоколная устаревшая V1-развертка на Arbitrum была атакована рано утром сегодня (11 мая), что привело к потерям примерно в 209 000 долларов. Хакер в белой шляпе вернул примерно 190 000 долларов, а команда подтвердила, что все пострадавшие пользователи получат полную компенсацию. Команда подтвердила, что уязвимость существовала только в развертке V1 на Arbitrum; развертки V1 Base, V2 Arbitrum и V2 Base остаются в безопасности. Вся инфраструктура, по
GateNews3ч назад
USDT0 объявляет механизм валидации 3/3 и программу Bug Bounty $6M после инцидента Kelp
Согласно Foresight News, USDT0 — протокол взаимной совместимости активов Tether — объявил детали архитектуры безопасности после инцидента Kelp. Протокол использует собственную сеть Decentralized Verifier Network (DVN) с правом вето на сообщения и требует трёх независимых валидаторов на основе разных кодовых баз, чтобы достичь консенсуса 3/3 до того, как кроссчейн-сообщения будут окончательно обработаны. Текущие узлы валидаторов включают собственную DVN USDT0, LayerZero и Canary. USDT0 также запу
GateNews4ч назад
Microsoft обнаруживает фишинговую кампанию для macOS, нацеленную на кошельки Exodus, Ledger и Trezor с конца 2025 года
По данным команды исследователей безопасности Microsoft, с конца 2025 года злоумышленники распространяют поддельные руководства по устранению неполадок macOS на платформах, включая Medium, Craft и Squarespace, чтобы обманом заставлять пользователей выполнять вредоносные команды в терминале. Эти команды загружают и запускают вредоносное ПО, предназначенное для кражи ключей криптовалютных кошельков из Exodus, Ledger и Trezor, а также данных iCloud и сохранённых паролей из Chrome и Firefox. Среди з
GateNews4ч назад
LayerZero публикует публичные извинения за реакцию на эксплойт Kelp DAO, признаёт ошибку единственного верификатора в DVN
Согласно LayerZero, протокол в пятницу опубликовал публичные извинения за работу с эксплойтом от 18 апреля, из-за которого было выведено 292 миллиона долларов в rsETH с кроссчейн-моста Kelp DAO; это стало заметным сдвигом по тону по сравнению с более ранним постмортем. LayerZero признала, что ее Decentralized Verifier Network (DVN) не должна была выступать единственным верификатором для операций высокой стоимости, заявив: «Мы допустили ошибку, позволив нашему DVN действовать как 1/1 DVN для тран
GateNews4ч назад
