Вредоносное ПО ClickFix нацелено на пользователей Mac с помощью поддельных CAPTCHA и системных предупреждений

Что такое кампания вредоносного ПО ClickFix для Mac?

Кампания вредоносного малвертайзинга ClickFix для Mac, возможно, завершилась, но это не означает, что механизм клик-фрода, использовавшийся для взлома компьютеров Mac, исчезнет.

Изначально ClickFix был техникой кликджекинга, которая использовала инерцию пользователей в браузере и заставляла их нажимать на рекламу, принудительно нажимая кнопку-приманку для выполнения требуемого действия. ClickFix был перепрофилирован как средство распространения инфостилеров, таких как MacSync, Shub Stealor и AMOS Stealer, все из которых способны похищать конфиденциальные данные у целевых жертв.

Хакеры, стоящие за ClickFix, изменили свою стратегию: вместо обмана пользователей с целью загрузки потенциально опасного ПО на компьютеры Windows они начали нацеливаться на пользователей macOS с помощью другой кампании, использующей аналогичные методы социальной инженерии.

В посте блога Verdict исследователи безопасности @MalcolmH из Cyble Security — которые отслеживали развитие ClickFix и его оригинального инструмента для Windows, BleedEasy, в побочном проекте под названием BleedMac — подробно описали новые аспекты кампании, запущенной с взломанных веб-сайтов.

Определяемые по имени сайта как часть «небезопасной страницы», «предупреждения», «оповещения» или «сообщения об ошибке», посетители этих сайтов могут заметить уведомление или всплывающее окно с текстом: «произошла системная ошибка», «место на диске заполнено», «ошибка временного файла» или что-то подобное. Затем пользователя проводят через пошаговые инструкции, такие как «Подтвердить», «Разрешить», «Да», «Нет» или «Отмена», чтобы устранить предполагаемую ошибку.

Если посетитель нажимает «Разрешить» во всплывающем окне с вопросом о «принудительной перезагрузке», браузер открывает веб-страницу, показывающую значок замка рядом с кнопкой «Перезагрузить сейчас». Если посетитель решает не принуждать к перезагрузке, появляется сообщение о «недостаточном месте на диске» с просьбой удалить определённые папки для освобождения места. Если посетитель удаляет часть или всё содержимое папки «Library/Caches», ему предлагается перезагрузить компьютер. Если компьютер не перезагружается, пользователю даётся указание удалить папку «Caches», находящуюся внутри папки «Applications».

По данным исследователей Cyble, кампания активна с апреля и мая 2026 года, и две группы обнаружили в общей сложности около 2800 затронутых веб-сайтов, распространяющих инструмент ClickFix.

Как ClickFix и Atomic Stealer заражают Mac

Как только жертва посещает взломанный или вредоносный веб-сайт, страница имитирует обновление браузера, открывая одно из нескольких всплывающих окон, содержащих код для «загрузки последней версии». При нажатии всплывающее окно копирует вредоносный скрипт в буфер обмена, который затем необходимо вставить в терминал с помощью Cmd+V. На этом этапе пользователь неосознанно предоставил системные разрешения для выполнения скрипта.

Этот скрипт использует кодировку Base64 для сокрытия своего содержимого, а затем выполняет команду curl для загрузки файла install.sh с сервера C2, загружая скрипт в память без активации проверок Gatekeeper.

Затем скрипт запрашивает root-пароль пользователя: «Please enter System Password:» — повторяя запрос до тех пор, пока не будет введён пароль. Это даёт вредоносному ПО широкий доступ к системе. После ввода пароля скрипт создаёт файл журнала в /var/tmp и выполняет AppleScript, который открывает предварительно заполненный документ Script Editor, содержащий вредоносное ПО Atomic Stealer.

Затем Atomic Stealer помещает свои модули в /usr/local/lib, обеспечивает персистентность, создавая псевдоним для launchservices.db в /Library и ~/Library, и инициализирует свои основные компоненты через скрытое приложение, которое использует несколько фреймворков Apple для поддержания постоянного соединения с сервером C2.

Пошагово: как работает атака с поддельным reCAPTCHA

Эта атака заменяет Google reCAPTCHA собственной «поддельной» версией исключительно для пользователей macOS, предлагая пользователям «ввести код», потому что «проверка не удалась». Нажатие «verify» запускает цепную реакцию, которая заканчивается скрытой установкой кликджекингового вредоносного ПО на устройство.

Сначала жертвы попадают на страницу, наполненную сообщениями в стиле reCAPTCHA, утверждающими, что их устройство «подозрительно похоже на интернет-полицейского робота и может потребовать дополнительной проверки для продолжения». Появляется окно с кнопкой «Разрешить». Если нажать её, строка скрипта копируется в буфер обмена, и страница даёт инструкцию открыть Терминал и вставить её.

Страница говорит жертве: «Эта команда проверит, что вы человек, а не робот» — тогда как на самом деле жертва передаёт хакерам полный контроль над своим Mac.

Скрипт загружает файл .sh с домена, связанного с преступной операцией. Этот файл содержит shell-скрипт, который загружает сжатый архив скриптов, содержащий ещё один дополнительный скрипт вместе со скриптом на Python. Основной shell-скрипт проверяет установленные пакеты, устанавливает разрешения и создаёт папку в /usr/local/bin, содержащую Python-скрипт. Python-скрипт создаёт постоянного демона запуска (launch daemon), чтобы вредоносное ПО запускалось при каждом включении компьютера.

Вредоносное ПО пытается украсть файлы cookie из Google Chrome, Microsoft Edge, Mozilla Firefox и Safari, записывает аудио с помощью QuickTime и фреймворков Hidden Camera, а также запускает приложение ScreenTDC, известное как часть кампании кликджекингового вредоносного ПО.

Пример атаки ClickFix, компрометирующей Google Drive

Что происходит после вставки вредоносного кода в Терминал

Когда первый скрипт запускается, все компоненты вредоносного ПО активируются в памяти; на этом этапе файлы на диск не записываются. Затем скрипт отключает встроенные защиты безопасности Mac с помощью скриптов launchdaemon, работающих от root.

После отключения защит скрипт инициирует сетевой запрос к серверу C2 для идентификации затронутого Mac и присвоения ему уникального идентификатора. Вредоносное ПО ClickFix состоит из двух частей — helper и update — оба бинарных файла Mach-O, закодированных в base64 и сжатых с помощью gzip. Бинарные файлы имитируют стандартные оболочки macOS, перехватывают сигналы оболочки, перенаправляют вывод, чтобы вредоносное ПО не завершалось даже при принудительной остановке, и удаляют свои собственные следы из системы.

Вредоносное ПО собирает содержимое буфера обмена, нажатия клавиш, сетевую активность, расположение криптокошельков, кэш браузера и файлы cookie, сведения об оборудовании, установленные приложения и информацию об операционной системе. Все собранные данные шифруются и отправляются на сервер C2, контролируемый злоумышленниками. Вредоносное ПО также восстанавливает свои исходные имена файлов и каталоги электронной почты после прекращения работы, предоставляя злоумышленникам постоянный бэкдор.

Почему эта атака обманывает даже осторожных пользователей Mac

Чтобы скрыть свою истинную природу, вредоносное ПО маскируется под знакомый код, выполняя при этом незнакомые задачи, используя методы обфускации, которые не сразу раскрывают цель. Затем кампания использует лавину всплывающих окон, чтобы заставить жертв действовать быстро; например, поддельный CAPTCHA, который вынуждает выбирать между принятием исправления или отменой. Давление гарантирует, что жертвы не будут искать дополнительную информацию.

Заражённая машина становится компьютером-зомби, который остаётся под контролем киберпреступника, стоящего за кампанией. Операторы этих ботнетов могут продавать части инфраструктуры другим злоумышленникам для использования в целевых кампаниях.

Эта конкретная кампания сочетает социальную инженерию с SEO-оптимизацией, чтобы показывать результаты, которые выглядят легитимно для целей, одновременно показывая рекламу на страницах результатов поиска, чтобы отвлечь пользователей от причиняемого вреда.

Признаки того, что ваш Mac может быть заражён Atomic Stealer

Если вы испытываете какие-либо из этих симптомов, ваш Mac может быть заражён Atomic Stealer. Выполните полное сканирование системы с помощью надёжного антивируса, чтобы проверить наличие вредоносного ПО.

Распространённым ранним признаком является необычная медлительность, которая не проходит после перезагрузки. Во время выполнения полного сканирования системы вредоносное ПО может оставаться активным: несколько файлов, таких как diskimage, disklabel и dtracevar.db, принадлежащих Atomic Stealer, могут продолжать существовать даже после сканирования. Несколько процессов также могут продолжать работать в фоновом режиме: процессы helper, updater и osascript могут сохраняться и потреблять CPU и память. Хотя эти процессы напрямую не заражают вашу систему, они указывают на то, что остатки вредоносного ПО всё ещё установлены.

Безопасные способы проверки reCAPTCHA без риска заражения вредоносным ПО

Легитимные reCAPTCHA работают путём нажатия на флажки и просмотра изображений — без ввода команд или загрузки чего-либо. Вредоносному ПО ClickFix удалось внедрить команды в процесс проверки, что позволило впоследствии перехватить его.

Файлы, устанавливаемые ClickFix, называются «fix» и «fix1», а персистентность достигается через launchservices. Несмотря на попытки остаться незамеченным, Mac чувствительны к вредоносному ПО по разным причинам, включая встроенный XProtect от Apple и тот факт, что clickfix вредоносное ПО публично идентифицируется как вредоносное с помощью онлайн-сканеров и платформы Apple Threat Intelligence Platform.

На момент написания это оставалось одним из немногих ведущих VPN, который всё ещё рекомендовал пользователям включать reCAPTCHA на своём веб-сайте. Surfshark и IPVanish имеют обе версии проверки на своих сайтах, но их приложения только запрашивают разрешение на включение reCAPTCHA, не требуя от пользователей выполнения фактической проверки.

Простые советы по безопасности для вашего Mac (2026)

* Не игнорируйте обновления macOS. Серьёзно. Последняя версия macOS поставляется с более строгими настройками Gatekeeper, улучшенным обнаружением вредоносных программ и встроенной блокировкой угроз. Если вы видите опцию Private Cloud Keychain, включите её — оно того стоит.

* Убедитесь, что Gatekeeper действительно включён. Перейдите в Системные настройки > Безопасность и конфиденциальность > вкладка Details, затем выберите «Разрешить из App Store и идентифицированных разработчиков». Уже это не позволяет случайным непроверенным приложениям запускаться на вашей машине без вашего разрешения.

* Рассмотрите возможность использования антивируса в реальном времени. Послушайте, Mac не пуленепробиваемы — довольно хороши, да, но не неуязвимы. Приличный антивирус в реальном времени будет сканировать файлы в тот момент, когда вы их загружаете или открываете. Большинство этих инструментов тихо добавляют себя в элементы автозагрузки, так что вам не нужно беспокоиться об их запуске. Они просто работают там, в фоновом режиме.