Security researchers at Malwarebytes eine Malware-Kampagne gegen macOS-Nutzer über eine betrügerische Website identifiziert, die sich als das beliebte Systemprogramm CleanMyMac ausgibt. Die Operation verteilt eine informationsdiebstahlende Malware, die dazu dient, Passwörter, Kryptowährungs-Wallet-Daten und andere sensible Informationen von infizierten Geräten zu sammeln.
Die bösartige Kampagne basiert auf einer gefälschten Website, die die legitime Produktseite von CleanMyMac eng imitiert. CleanMyMac ist ein von MacPaw entwickeltes Wartungs- und Optimierungstool für macOS, das von Millionen von Mac-Nutzern zur Verwaltung von Speicher und Systemleistung genutzt wird. Die Seite der Angreifer präsentiert sich als Download-Portal für die Software, ist jedoch weder mit MacPaw noch der offiziellen CleanMyMac-Anwendung verbunden.
Laut Sicherheitsforschern leitet die gefälschte Seite Besucher auf eine Domain, die der legitimen Seite ähnelt. Opfer werden angewiesen, die Terminal-Anwendung auf ihrem Mac zu öffnen und einen auf der Seite bereitgestellten Befehl einzufügen. Das Ausführen des Befehls lädt und installiert Malware direkt von einem angreifergesteuerten Server.
Die bei dem Angriff verwendete Technik ist als “ClickFix” bekannt, eine Social-Engineering-Methode, die Nutzer dazu bringt, selbst bösartige Befehle auszuführen. Da der Befehl freiwillig vom Benutzer ausgeführt wird, blockieren viele der von macOS integrierten Schutzmaßnahmen wie Gatekeeper, Notarisierungsprüfungen und XProtect die Installation nicht.
Nach der Ausführung installiert der Befehl SHub Stealer, eine Informationsdiebstahl-Malware von macOS. Die Schadsoftware ist darauf ausgelegt, sensible Daten vom kompromittierten System zu sammeln, darunter Browserdaten, gespeicherte Passwörter, Apple-Schlüsselanhänger-Informationen, Kryptowährungs-Wallet-Dateien und Messaging-Sessionen wie Telegram.
Forscher beobachteten außerdem, dass die Malware versucht, bestimmte Kryptowährungs-Wallet-Anwendungen so zu verändern, dass Angreifer später auf Wiederherstellungsphrasen oder andere Authentifizierungsinformationen zugreifen können. Möglicherweise anvisierte Wallet-Anwendungen sind Exodus, Atomic Wallet und Ledger-bezogene Software.
Die Angriffssequenz beginnt mit einem kleinen Loader-Skript, das das System vorbereitet, bevor die gesamte Nutzlast ausgeliefert wird. In einigen Fällen überprüft das Skript die Systemeinstellungen, um den Standort oder die Sprachkonfiguration des Geräts zu bestimmen, bevor der Infektionsprozess fortgesetzt wird.
Nach der Installation kann die Schadsoftware auf dem System verbleiben und weiterhin mit angreifergesteuerter Infrastruktur kommunizieren. Neben dem Datendiebstahl sagen die Forscher, dass die Malware eine dauerhafte Hintertür hinterlassen kann, die es Angreifern ermöglicht, auch nach der ersten Datenerhebung Zugriff aufrechtzuerhalten.
Die Kampagne hebt hervor, wie Angreifer zunehmend auf Social Engineering setzen, anstatt technische Schwachstellen auszunutzen. Indem Opfer dazu gebracht werden, Befehle manuell auszuführen, umgeht die Malware viele der automatisierten Abwehrmechanismen, die zum Schutz von macOS-Systemen entwickelt wurden.
Sicherheitsexperten empfehlen, Software nur von offiziellen Entwickler-Webseiten oder vertrauenswürdigen App-Stores herunterzuladen. Sie raten den Nutzern außerdem, jede Website, die sie anweist, Befehle ins Terminal einzufügen, als verdächtig zu behandeln, da legitime Anwendungen diese Installationsmethode selten benötigen.