PANews berichtete am 11. Mai, dass laut Cryptopolitan das Sicherheitsforschungsteam von Microsoft entdeckt hat, dass Angreifer seit Ende 2025 gefälschte macOS-Fehlerbehebungsleitfäden veröffentlichen, um Benutzer dazu zu bringen, bösartige Terminalbefehle auszuführen, um verschlüsselte Wallets, iCloud-Daten und im Browser gespeicherte Passwörter zu stehlen. Diese gefälschten Leitfäden, die auf Plattformen wie Medium, Craft und Squarespace veröffentlicht werden, zielen auf häufige Benutzerprobleme wie das Freigeben von Festplattenspeicher oder das Beheben von Systemfehlern ab und verleiten Benutzer dazu, bösartige Befehle zu kopieren und in das Terminal einzufügen. Diese Befehle laden automatisch Malware herunter und führen sie aus.
Diese als ClickFix bekannte Social-Engineering-Technik umgeht den macOS Gatekeeper-Sicherheitsmechanismus, da das Opfer die Befehle aktiv ausführt. Zu den beteiligten Malware-Familien gehören AMOS, Macsync und SHub Stealer, die verschlüsselte Wallet-Schlüssel von Exodus, Ledger und Trezor sowie in Chrome und Firefox gespeicherte Benutzernamen und Passwörter stehlen können. In einigen Fällen löschen Angreifer legitime Wallet-Anwendungen und ersetzen sie durch Trojanerversionen. Apple hat in macOS 26.4 Schutz gegen das Einfügen potenziell bösartiger Befehle hinzugefügt.
