Как сообщал Cryptopolitan 11 мая, команда по безопасности Microsoft Defender обнародовала результаты расследования, согласно которым злоумышленники с конца 2025 года размещали на Medium, Craft и других платформах фальшивые руководства по устранению неполадок macOS. Эти материалы побуждали пользователей выполнять вредоносные команды в терминале, что приводило к установке вредоносного ПО для кражи ключей криптокошельков, данных iCloud и сохранённых в браузере паролей.
Механизм атаки: ClickFix в обход macOS Gatekeeper
По данным отчёта команды по безопасности Microsoft Defender, злоумышленники использовали социально-инженерную технику под названием ClickFix: размещали на Medium, Craft и Squarespace фальшивые руководства по устранению неполадок macOS, выдавая их за инструкции по освобождению дискового пространства или исправлению системных ошибок. Пользователям предлагалось копировать вредоносные команды и вставлять их в macOS Terminal; после выполнения команд вредоносное ПО автоматически загружалось и запускалось.
Согласно сообщению Microsoft, этот подход обходит защитный механизм macOS Gatekeeper, поскольку Gatekeeper предназначен для проверки кода с помощью подписи и нотариального удостоверения при запуске приложений через Finder, тогда как выполнение команд напрямую в Terminal не подчиняется этому этапу проверки. Исследователи также обнаружили, что атакующие используют curl, osascript и другие нативные инструменты macOS для выполнения вредоносного кода непосредственно в памяти (безфайловая атака), из-за чего стандартным антивирусам сложнее его обнаружить.
Семейства вредоносного ПО, воровские цели и особые механизмы
Согласно отчёту Microsoft, эта активность включает три семейства вредоносного ПО (AMOS, Macsync, SHub Stealer) и три типа установщиков (Loader, Script, Helper). В число похищаемых целевых данных входят:
Ключи криптокошельков: Exodus, Ledger, Trezor
Учётные данные: iCloud, Telegram
Сохранённые в браузере пароли: Chrome, Firefox
Личные файлы и фотографии: локальные файлы менее 2 MB
После установки вредоносное ПО отображает фальшивые диалоговые окна, требуя от пользователя ввести системный пароль для установки «вспомогательного инструмента». Если пользователь вводит пароль, атакующий получает полный доступ к файлам и системным настройкам. Microsoft также отмечает, что в некоторых случаях злоумышленники удаляют легитимные приложения Trezor Suite, Ledger Wallet и Exodus и заменяют их версиями с встраиванием трояна для мониторинга транзакций и кражи средств. Кроме того, загружаемые указанным вредоносным ПО программы включают выключатель: при обнаружении русской раскладки клавиатуры вредоносное ПО автоматически прекращает выполнение.
Связанные атаки и меры защиты Apple
По данным расследования специалистов ANY.RUN, Lazarus Group запустила хакерскую кампанию под названием «Mach-O Man», применяя те же техники, что и ClickFix: через фальшивые приглашения на встречи она нацеливалась на компании в сфере финтеха и криптовалют, где macOS является основным рабочим устройством.
Cryptopolitan также сообщал, что северокорейская хакерская группа Famous Chollima использует AI для генерации кода, внедряя вредоносные npm-пакеты в проекты криптовалютных торговых систем. Это вредоносное ПО использует двухслойную архитектуру обфускации и похищает данные кошельков и конфиденциальную информацию системы.
Как сообщается, Apple добавила защитный механизм в версии macOS 26.4, который препятствует вставке в macOS Terminal команд, помеченных как потенциально вредоносные.
Частые вопросы
С какого момента началась ClickFix-атака на macOS, раскрытая Microsoft Defender, и где она была опубликована?
По данным сообщения команды по безопасности Microsoft Defender и Cryptopolitan от 11 мая 2026 года, активность началась в конце 2025 года: злоумышленники размещали на Medium, Craft и Squarespace фальшивые руководства по устранению неполадок macOS, чтобы побудить пользователей Mac выполнять вредоносные команды в Terminal.
На какие криптокошельки и типы данных нацелена эта атака?
Согласно отчёту Microsoft, вредоносное ПО (AMOS, Macsync, SHub Stealer) может похищать ключи криптокошельков Exodus, Ledger и Trezor, данные учётных записей iCloud и Telegram, а также имена пользователей и пароли, сохранённые в Chrome и Firefox.
Какие меры защиты Apple выпустила против этого типа атак?
По сообщениям, Apple добавила защитный механизм в версии macOS 26.4, который блокирует вставку в macOS Terminal команд, помеченных как потенциально вредоносные, чтобы снизить вероятность успеха социально-инженерных атак типа ClickFix.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Системы AI-безопасности Binance предотвратили потери от криптомошенничества на $10,5 млрд
Binance утверждает, что ее совместные ИИ-системы безопасности помогли предотвратить потенциальные потери на сумму 10,53 миллиарда долларов для миллионов пользователей от мошенничества в период с Q1 2025 по Q2 2025, сообщает в блоге, опубликованном в понедельник. Крупнейшая в мире криптобиржа внедрила примерно два десятка функций безопасности с поддержкой ИИ, чтобы защитить пользователей от криптомошенничества и попыток фишинга. Функции безопасности с поддержкой ИИ Инфраструктура безопасности Bin
CryptoFrontier1ч назад
Индия выпускает предупреждение о Drainer Trust Wallet после появления нового мошеннического домена, нацеленного на пользователей BNB 3 мая
Согласно министерству внутренних дел Индии, национальный орган по киберпреступности выпустил официальное уведомление 20 апреля, в котором назвал три поддельных сайта «Verify Crypto Assets on BNB Chain», нацеленных на пользователей Trust Wallet. Новый домен-дрейнер, buepux.com, присоединился к списку 3 мая и уже заблокирован MetaMask. Исследователи Darktrace отследили один вариант, который вывел 470 тыс. долларов с одного пострадавшего за две минуты через вредоносную транзакцию с предоставлением
GateNews3ч назад
SlowMist предупреждает о фишинговой атаке через поддельное расширение TronLink для Chrome
Криптовалютная компания по безопасности SlowMist выпустила уведомление о безопасности, предупреждающее о фишинговой атаке высокого риска, нацеленной на пользователей кошельков TRON (TRX), говорится в пресс-релизе компании. Злоумышленники создали вредоносное расширение для Chrome, которое имитирует официальный кошелёк TronLink, используя продвинутые техники подмены, чтобы обмануть пользователей при установке. Фальшивое расширение крадёт учётные данные кошелька и передаёт их злоумышленникам в режи
CryptoFrontier3ч назад
Контракт Huma Finance v1 был взломан в Polygon, потери составили 101 400 USDC
По данным Foresight News, сегодня злоумышленники использовали уязвимость в legacy v1-контракте Huma Finance, развернутом в Polygon, что привело к потере 101 400 USDC. Протокол заявил, что средства пользователей не пострадали, а его токен PST не затронут. Система v2 на Solana, полностью перестроенная, не уязвима к этому эксплойту. Huma Finance полностью приостановила операции по v1 — как и планировалось ранее, она намеревалась свернуть legacy-ликвидити-пулы.
GateNews7ч назад
Кошелёк Trader's Sigma снова был опустошён; второй кошелёк был обнулён за шесть месяцев, $200K был потерян другим пользователем
По данным Odaily, трейдер A (@missoralways) сообщил, что недавно две из принадлежащих ему кошельков, подключённых к Sigma, были опустошены, что стало вторым компрометацией кошелька за шесть месяцев. Трейдер заявил, что ранее хранил в Sigma активы с семизначными суммами без проблем с безопасностью, однако оба инцидента произошли, когда баланс кошельков опустился ниже $10,000. Кроме того, ещё один пользователь потерял около $200,000 в активах при схожих обстоятельствах. Команда Sigma начала рассле
GateNews10ч назад
Arkham Intelligence: инвестиционное мошенничество составило 49% криптопреступлений — взломов нет — по состоянию на 11 мая
Согласно Arkham Intelligence, 11 мая платформа блокчейн-аналитики опубликовала отчет, в котором говорится, что инвестиционное мошенничество составило 49% потерь от преступлений с криптовалютой в 2025 году. Ссылаясь на данные FBI Internet Crime Complaint Center, в отчете отмечается, что убытки от преступлений, связанных с криптовалютой, в США превысили 11 миллиардов долларов в 2025 году. В отчете также указано, что преступления с цифровыми активами теперь охватывают множество форм, включая инвест
GateNews12ч назад
