Napadači koriste lažne macOS vodiče za distribuciju infostealer malvera
Napadači koriste lažne vodiče za macOS na Medium i drugim platformama kako bi distribuirali infostealer malver kroz Terminal komande umesto tradicionalnih instalacijskih fajlova.
Šta se desilo?
Sajber istraživači iz Microsofta detektovali su evoluciju kampanje ClickFix koja se fokusira na macOS korisnike. Napadači postavljaju lažne uputstvo na raznim veb platformama - od samostalnih sajtova, preko blogerskih platformi kao Medium, do platforme Craft - gde nude "rešenja" za česte macOS probleme. Zapravo, ti sadržaji sadrže komande koje korisnici trebalo da ukucaju u Terminal, a koje preuzimaju i pokreću infostealer malver (Macsync, Shub Stealer, AMOS) umesto legalne softverske alate.
Kako funkcioniše napad?
Ključna karakteristika nove taktike jeste korišćenje Terminal komandi umesto tradicionalnih .dmg instalacionih fajlova. Korisnik kopira Base64-enkodiranu komandu sa sajta i pokreće je kroz Terminal, što rezultira preuzimanjem i izvršavanjem skripte koja u pozadini instalira malver. Pošto se skripta pokreće direktno kroz Terminal, ona izbegava bezbednosne provere kao što su Gatekeeper validacija, šifrovanje i notarizacija koju prolaze tradicionalne aplikacije. Istraživanja su identifikovala tri različita izvršavanja putanje - loader kampanja, skript kampanja i helper kampanja - svaka sa sopstvenim infrastrukturom i C2 komunikacijom.
Koga pogađa?
Kampanja direktno ciljа macOS korisnike koji traže pomoć za optimizaciju diska, rešavanje performansi problema i druge česte sistemske probleme. Posebno su riziku izloženi korisnici koji veruju blogerskom sadržaju na platformama kao Medium, Craft i sličnim sajtovima gde se maliciozne instrukcije mogu lako maskirati kao legitimni saveti.
Kako se zaštititi?
- Uvek proverite izvor pre nego što kopijate i pokrenete Terminal komande - čak i sa poznatih blogerskih platformi
- Nikada ne pokrenite Terminal komande koje dolaze od nepoznatih ili neproveren izvora
- Koristite sveobuhvatno antivirussno rešenje za macOS koje može detektovati infostealer malver
- Redovno pratite Apple bezbednosne ažuriranja i patch-eve
- Promislite dva puta pre nego što podelite osjetljive podatke - posebno čuvajte pristupne podatke iCloud-u, Keychain entrijese i kripto novčanike
- Razmotrите korišćenje hardver novčanika umesto aplikacija za čuvanje kriptovaluta
Tehnički detalji
Kampanja koristi tri različita izvršavanja putanje sa sledećim karakteristikama: Loader kampanja (aktivna od februara 2026) koristi curl komandu da preuzme shell skriptu koja dalje dekodira Base64/Gzip payload-e i izvršava ih preko eval komande. Script kampanja koristi hardkodovanu C2 infrastrukturu sa Telegram fallback. Helper kampanja koristi /tmp direktorijume za data staging sa random ID oznakama. Sve tri varijante pokušavaju da kreiraju persistence kroz plist fajlove u ~/LaunchAgents ili ~/LaunchDaemons direktorijumima. Malver targeting čuvene kripto aplikacije kao što su Trezor Suite, Ledger Wallet i Exodus zamenom njihovih legitimnih verzija trojanizovanim kopijama.
Preporuka Sajber Radara
Korisnicima macOS sistem preporučujemo maksimalnu opreznost pri kopiranju Terminal komandi iz interneta bez obzira koliko legitimno izgledao izvor. Organizacije trebalo bi da ojačaju edukaciju zaposlenih o rizicima infostealer kampanja i razmotre implementaciju endpoint zaštite sa mogućnošću detekcije ovakvih malvera. Ako ste već pokrenuli nepoznate Terminal komande, preporučujemo temeljnu skeniranje sistema antivirusom i promenu svih važnih lozinki.
