**Script Editor**, eine vertrauenswürdige macOS-Anwendung zum Schreiben und Ausführen von Skripten (hauptsächlich AppleScript und JXA), wird missbraucht, um Malware zu verbreiten. Forscher haben eine neue ClickFix-Technik beobachtet, die keine manuelle Interaktion des Benutzers mit dem Terminal erfordert, im Gegensatz zu früheren Angriffen. ### ClickFix-Angriff umgeht Terminal-Warnungen Obwohl **Apple** Schutzmaßnahmen gegen ClickFix-Angriffe in macOS Tahoe 26.4 eingeführt hat, die eine Warnung beim Ausführen von Befehlen im Terminal anzeigen, umgeht dieser neue, auf Script Editor basierende Angriff diese Sicherheitsmaßnahme. ### Gefälschte Apple-Websites verbreiten Malware Sicherheitsforscher von **Jamf** haben eine Kampagne beobachtet, bei der Angreifer gefälschte Apple-Websites nutzen, die sich als Anleitungen ausgeben, um Benutzern zu helfen, Speicherplatz auf ihren Mac-Computern zurückzugewinnen. Diese Websites enthalten scheinbar legitime Anweisungen zur Systembereinigung, verwenden aber das `applescript://`-URL-Schema, um Script Editor mit vorab ausgefülltem ausführbarem Code zu starten.  *Quelle: Jamf* ### Technische Aufschlüsselung des Angriffs Der bösartige Code führt einen verschleierten `curl | zsh`-Befehl aus, der ein Skript direkt im Systemspeicher herunterlädt und ausführt. Dieses Skript dekodiert eine base64 + gzip-Payload, lädt eine Binärdatei (`/tmp/helper`) herunter, entfernt Sicherheitsattribute mit `xattr -c`, macht sie ausführbar und führt sie dann aus. ### Atomic Stealer (AMOS) Payload Die endgültige Payload ist eine Mach-O-Binärdatei, die als **Atomic Stealer** (AMOS) identifiziert wird, eine kommerzielle Malware-as-a-Service. Diese Malware wurde im vergangenen Jahr in ClickFix-Kampagnen mit verschiedenen Lockangeboten ausgiebig eingesetzt. AMOS zielt auf ein breites Spektrum sensibler Daten ab, darunter: * Keychain-Informationen * Desktop-Dateien * Kryptowährungs-Wallet-Erweiterungen * Browser-Autofill-Daten * Passwörter * Cookies * Gespeicherte Kreditkarten * Systeminformationen Im vergangenen Jahr fügte AMOS auch eine Backdoor-Komponente hinzu, um Betreibern persistenten Zugriff auf kompromittierte Systeme zu ermöglichen. ### Abhilfemaßnahmen und Prävention Mac-Benutzer sollten Script Editor-Aufforderungen mit äußerster Vorsicht behandeln und sie nicht ausführen, es sei denn, sie verstehen den Code vollständig und vertrauen der Quelle. Verlassen Sie sich auf offizielle Dokumentationen von Apple für macOS-Fehlerbehebungsanleitungen. Obwohl **Apple Support Communities** hilfreich sein können, ist Vorsicht geboten, da Ratschläge nicht risikofrei sein können.