Cybersecurity -onderzoekers waarschuwen voor een nieuwe malware -campagne die de ClickFix Social Engineering Tactic gebruikt om gebruikers te misleiden om een informatie -malware te downloaden die bekend staat als Atomic MacOS Stealer (AMOS) op Apple MacOS -systemen.
Volgens Cloudsek is vastgesteld dat de campagne typosquat-domeinen benutten die het Amerikaanse spectrum van telecomprovider nabootsen.
“MacOS -gebruikers krijgen een kwaadaardig shell -script dat is ontworpen om systeemwachtwoorden te stelen en een AMOS -variant te downloaden voor verdere exploitatie,” zei beveiligingsonderzoeker Koushik Pal in een rapport dat deze week is gepubliceerd. “Het script maakt gebruik van native macOS -opdrachten om referenties te oogsten, beveiligingsmechanismen te omzeilen en kwaadaardige binaries uit te voeren.”
Er wordt aangenomen dat de activiteit het werk is van Russisch sprekende cybercriminelen vanwege de aanwezigheid van Russische taalcommentaar in de broncode van de malware.
Het uitgangspunt van de aanval is een webpagina die spectrum (“paneel-spectrum (.) Net” of “spectrum-ticket (.) Net”) imiteert. Bezoekers van de sites in kwestie krijgen een bericht dat hen instrueert om een HCAPTCHA -verificatiecontrole te voltooien om “de beveiliging” van hun verbinding te beoordelen voordat ze verder gaan.
Wanneer de gebruiker echter op het selectievakje “I Am Human” klikt voor evaluatie, worden ze een foutmelding weergegeven waarin staat dat “CaptCha Verificatie is mislukt”, waarbij ze worden aangeraden om op een knop te klikken om door te gaan met een “alternatieve verificatie”.
Dit zorgt ervoor dat een opdracht wordt gekopieerd naar het klembord van de gebruikers en het slachtoffer wordt een reeks instructies getoond, afhankelijk van hun besturingssysteem. Terwijl ze worden geleid om een PowerShell -opdracht op Windows uit te voeren door het Windows Run -dialoogvenster te openen, wordt het vervangen door een shell -script dat wordt uitgevoerd door de terminal -app op macOS te starten.
Het shell-script, van zijn deel, vraagt gebruikers om hun systeemwachtwoord in te voeren en downloadt een payload op de volgende fase, in dit geval een bekende Stealer genaamd Atomic Stealer.
“Slecht geïmplementeerde logica in de bezorgsites, zoals niet -overeenkomende instructies op platforms, wijst op haastig geassembleerde infrastructuur,” zei Pal.
“De leveringspagina’s in kwestie voor deze AMOS-variantcampagne bevatten onnauwkeurigheden in zowel de programmering als de front-end logica. Voor Linux-gebruikersagenten werd een PowerShell-opdracht gekopieerd. Bovendien werd de instructie ‘Pers & Hold the Windows Key + R’ weergegeven aan zowel Windows als Mac-gebruikers.”
De openbaarmaking komt te midden van een toename van campagnes met behulp van de ClickFix -tactiek om het afgelopen jaar een breed scala aan malwarefamilies te leveren.
“Acteurs die deze gerichte aanvallen uitvoeren, maken meestal gebruik van vergelijkbare technieken, tools en procedures (TTP’s) om initiële toegang te krijgen,” zei DarkTrace. “Deze omvatten speer phishing-aanvallen, drive-by compromissen of het exploiteren van vertrouwen in bekende online platforms, zoals GitHub, om kwaadaardige payloads te leveren.”
De links die zijn gedistribueerd met behulp van deze vectoren leiden de eindgebruiker doorgaans door naar een kwaadaardige URL die een nep-captcha-verificatiecontrole weergeeft en voltooit in een poging om gebruikers te misleiden door te denken dat ze iets onschadingen uitvoeren, terwijl ze in werkelijkheid worden begeleid om kwaadaardige bevelen uit te voeren om een niet-bestaand probleem op te lossen.
Het eindresultaat van deze effectieve methode voor social engineering is dat gebruikers hun eigen systemen in gevaar brengen en beveiligingscontroles effectief omzeilen.
In een incident van april 2025 geanalyseerd door DarkTrace, bleken onbekende dreigingsacteurs ClickFix te gebruiken als een aanvalsvector om onopvallende payloads te downloaden om dieper in de doelomgeving te graven, laterale beweging uit te voeren, systeem gerelateerde informatie naar een externe server te verzenden via een HTTP-postverzoek en ultimerent-gegevens.
“Clickfix Baiting is een veelgebruikte tactiek waarin dreigingsactoren menselijke fouten exploiteren om de verdediging van de beveiliging te omzeilen,” zei DarkTrace. “Door eindpuntgebruikers te misleiden om schijnbaar onschadelijke, dagelijkse acties uit te voeren, krijgen aanvallers initiële toegang tot systemen waar ze toegang hebben tot en exfiltreren van gevoelige gegevens.”
Andere ClickFix -aanvallen hebben nepversies van andere populaire Captcha -services gebruikt, zoals Google Recaptcha en CloudFlare Turnstile voor malware -levering onder het mom van routinematige beveiligingscontroles.
Deze neppagina’s zijn “pixel-perfecte kopieën” van hun legitieme tegenhangers, soms zelfs geïnjecteerd in echte maar gehackte websites om niet-verwerkende gebruikers te misleiden. Stealers zoals Lumma en Stealc, evenals volwaardige externe toegang Trojans (ratten) zoals NetSupport Rat zijn enkele van de payloads die zijn gedistribueerd via nep-tourniquetpagina’s.
“Moderne internetgebruikers worden overspoeld met spamcontroles, captchas en beveiligingsprompts op websites, en ze zijn geconditioneerd om hier zo snel mogelijk door te klikken,” zei Daniel Kelley van Slashnext. “Aanvallers exploiteren deze ‘verificatie -vermoeidheid’, wetende dat veel gebruikers zullen voldoen aan welke stappen dan ook worden gepresenteerd als deze er routine uitziet.”
