ClickFix-Angriffsmethode nutzt Script Editor anstelle des Terminals unter macOS
15. April 2026
Das Threat-Labs-Team von Jamf hat eine neue Angriffsmethode identifiziert, die den ClickFix-Ansatz nutzt. Dabei wird jedoch, nicht wie für diesen Ansatz üblich, das Terminal unter macOS als Ausführungsvektor verwendet, sondern der macOS-Script-Editor. Der Payload, der dadurch ausgelöst wird, ist jedoch nach wie vor derselbe wie bei bekannten ClickFix-Angriffen.
Anstatt Nutzer dazu zu bringen, Befehle direkt in das Terminal einzugeben, nutzt dieser Ansatz einen Browser-basierten Workflow, um den Script Editor zu starten. Nutzern wird eine Website im Apple-Design angezeigt, die vorgibt, ihnen dabei zu helfen „Speicherplatz auf ihrem Mac freizugeben“, inklusive Schritt-für-Schritt-Anweisungen, die den legitimen Apple-Anleitungen zur Systemwartung gleichen. Wenn ein Nutzer auf die Schaltfläche „Ausführen“ klickt, löst diese Website den nächsten Schritt des Workflows aus.
Der Browser fordert auf, das Öffnen des Script Editors zuzulassen und nach dem Öffnen wird dann ein vorab ausgefülltes Skript zur Ausführung angezeigt. Dieser Ansatz erfordert wenig direkte Interaktion durch den Nutzer – und bietet damit wenig Gelegenheit für Misstrauen.
Die nächsten Schritte unterscheiden sich geringfügig je nach macOS-Version, folgen aber alle einem bestimmten Muster: Zunächst wird ein verschlüsselter String in eine valide URL umgewandelt und die TLS-Zertifikatsvalidierung deaktiviert. Auf diese Weise kann dann eine schädliche Payload heruntergeladen und sofort im Speicher ausgeführt werden, ohne dass sie auf der Festplatte des Geräts auftaucht. Eine zweite, verschleierte Payload aktiviert dann eine Malware, die von Jamf als aktuelle Variante von Atomic Stealer identifiziert wurde.
Relevanz und Implikationen
Der macOS-Script-Editor wurde bereits in der Vergangenheit im Rahmen mehrerer Angriffsmethoden von Angreifern als Mechanismus zur Verbreitung von Malware genutzt, daher ist es nicht überraschend, dass Angreifer ihn wieder dafür verwenden. Das bemerkenswerte in diesem Fall ist, wie er genutzt wurde.
In der Vergangenheit wurden Nutzer im Rahmen von ClickFix-Angriffen üblicherweise unter dem Vorwand der Fehlerbehebung oder routinemäßigen Systemwartung dazu gebracht, Befehle in das Terminal einzugeben. Apple hat mit macOS 26.4 eine Sicherheitsfunktion eingeführt, die in das Terminal eingefügte Befehle vor ihrer Ausführung überprüft. Als Reaktion darauf haben Angreifer ihren Ansatz angepasst und nutzen nun einen anderen Ausführungsvektor für ClickFix-Angriffe.
Das zeigt, wie solche Angriffstechniken angepasst werden können, ohne die dahinterliegenden Mechaniken signifikant zu ändern – ein Effizienzgewinn für Angreifer und ein gutes Beispiel, für das kontinuierliche Wettrüsten zwischen Angreifern und Sicherheitsmaßnahmen, das die Cyber-Sicherheitslandschaft aktuell prägt: Sobald eine Schwachstelle geschlossen oder eine neue Sicherheitsmaßnahme implementiert wird, suchen Angreifer eine Alternative. In Zukunft wird diese Art von ClickFix-Angriffen vermutlich häufiger auftreten und es ist davon auszugehen, dass auch noch weitere Varianten von Angreifern entwickelt werden, da sich diese Methode als einfach anzupassen herausgestellt hat. (rhh)
