ClickFix-Angriffe: Apple-Nutzer jetzt im Visier von Hackern

Die Methode setzt auf Täuschung statt auf klassische Software-Lücken.

Jüngste Berichte von Microsoft zeigen: Angreifer nutzen gefälschte Fehlermeldungen und Problemlösungen, um Opfer zur manuellen Ausführung schädlicher Befehle zu bewegen. Statt automatisierte Exploits zu verwenden, verlassen sich die Kriminellen vollständig auf das Vertrauen der Anwender.

Gerade für Einsteiger ist der Schutz vor manipulierten Systembefehlen am Mac oft schwer zu durchschauen. Dieser kostenlose PDF-Ratgeber verrät clevere Einstellungen und Tricks, mit denen Sie Ihren Apple-Computer von Beginn an sicher und optimal nutzen. Apple Mac Starterpaket völlig kostenlos sichern

Die ClickFix-Taktik wurde erstmals im Frühjahr 2024 identifiziert. Besonders häufig simulieren die Angreifer Szenarien rund um Videokonferenz-Dienste wie Google Meet oder Zoom. Täuschend echt wirkende Fehlermeldungen in Webbrowsern oder auf gefälschten Plattformen locken die Opfer auf manipulierte Websites.

So funktioniert die neue Masche

Anfang Mai 2026 entdeckten Microsoft-Forscher neue Varianten, die gezielt macOS-Anwender ansprechen. Die Köder: das Versprechen, Speicherplatz zurückzugewinnen oder Audio-Probleme bei Web-Konferenzen zu beheben. Auf den Seiten erscheinen Pop-up-Fenster, die den Nutzer auffordern, eine bestimmte Tastenkombination zu drücken und einen Code in das Terminal zu kopieren.

Die Kampagnen agieren global und sind in über 40 Sprachen verfügbar. Neben manipulierten WordPress-Seiten nutzen die Hintermänner auch Plattformen wie Medium oder Craft für täuschend echte Hilfsartikel.

Warum der Mac besonders verwundbar ist

Die besondere Gefahr: Durch die Nutzung des Terminals oder des AppleScript-Editors umgehen die Angreifer zentrale Schutzfunktionen wie Apples Gatekeeper. Dieser prüft normalerweise die Signatur von App-Bundles und DMG-Dateien. Da die Befehle direkt über systemeigene Dienstprogramme laufen, stuft das Betriebssystem die Aktion als vom Benutzer autorisiert ein.

Microsoft unterscheidet drei Infektionswege:

• Loader-Kampagne: Ein Terminal-Befehl lädt ein Shell-Skript von der Angreifer-Infrastruktur, das weitere Schadsoftware nachlädt.
• Script-Kampagne: Stark verschleierte Befehle führen schädlichen Code direkt im Arbeitsspeicher aus – ohne Dateien auf der Festplatte zu hinterlassen.
• Dritte Methode: Hilfsprogramme, getarnt als legitime Updates, werden in temporären Systemordnern abgelegt und gestartet.

Neueste Beobachtungen zeigen, dass Angreifer vermehrt auf den Script-Editor von macOS setzen. Der Nutzer bestätigt eine Aktion auf einer Website, woraufhin der Editor mit einem bösartigen Skript gefüllt wird. Für Laien wirkt der Prozess wie ein automatisierter Reparaturvorgang.

Diese Daten sind in Gefahr

Das Hauptziel: der Diebstahl sensibler Informationen. Die am häufigsten beobachtete Schadsoftware ist der Atomic macOS Stealer (AMOS), ein bekannter Infostealer, der im Untergrund als Dienstleistung angeboten wird. Daneben wurden Varianten wie MacSync und Shub Stealer identifiziert.

Die Malware extrahiert eine breite Palette an Daten:

• Zugangsdaten aus dem Schlüsselbund (Keychain)
• Browser-Daten wie Passwörter, Cookies und Autofill-Informationen aus Chrome, Firefox und Safari
• Private Schlüssel und Seed-Phrasen für Kryptowährungs-Wallets (Electrum, Exodus, Ledger Live, Atomic Wallet)
• Dokumente, Notizen und Mediendateien
• Daten aus Messaging-Diensten wie Telegram sowie iCloud-Kontoinformationen

Einige Varianten ersetzen legitime Wallet-Anwendungen auf dem infizierten System durch manipulierte Versionen, um zukünftige Transaktionen abzufangen. Die gesammelten Daten werden in komprimierten Archiven an Command-and-Control-Server gesendet. Experten ordnen Teile dieser Infrastruktur Gruppen wie der Slavic Nation Empire oder Scamquerteo zu.

Apple reagiert mit neuen Schutzfunktionen

macOS 26.4 führt eine neue Sicherheitsfunktion ein: Sie scannt den Inhalt der Zwischenablage, sobald dieser ins Terminal eingefügt werden soll. Erkennt das System Muster, die typisch für ClickFix-Befehle oder schädliche Shell-Skripte sind, wird der Vorgang blockiert und eine Warnung ausgegeben.

Doch technische Sperren allein reichen nicht. Da ClickFix auf menschliches Fehlverhalten setzt, bleibt die Sensibilisierung der Nutzer der wichtigste Schutz. Unternehmen sollten ihre Mitarbeiter darauf hinweisen: Seriöse Dienste wie Google, Microsoft oder Apple fordern niemals dazu auf, kryptische Befehlszeilen aus dem Browser in ein Terminal zu kopieren.

Während Kriminelle schädliche Tastenkombinationen nutzen, um Nutzer in die Falle zu locken, helfen echte Shortcuts dabei, den Arbeitsalltag spürbar zu erleichtern. Ein Apple-Experte hat die 19 nützlichsten Tastenkombinationen zusammengestellt, mit denen Sie sofort flüssiger und entspannter arbeiten. Kostenlosen PDF-Ratgeber mit Mac-Shortcuts herunterladen

Administratoren sollten die Nutzung von nativen macOS-Utilities wie curl, osascript und Terminal-Aufrufen überwachen. Ungewöhnliche Befehlsequenzen, die verschlüsselte Payloads aus dem Internet laden, gelten als deutliches Warnsignal.

Was uns in den nächsten Monaten erwartet

Die ClickFix-Methode zeigt die hohe Anpassungsfähigkeit der Angreifer. Während Windows-Nutzer bereits länger mit ähnlichen Taktiken konfrontiert sind, stellt die gezielte Ausrichtung auf macOS eine neue Eskalationsstufe dar. Staatlich gestützte Akteure aus Nordkorea und Russland haben laut Proofpoint begonnen, diese Techniken zu übernehmen.

Die Köder werden subtiler. Künstliche Intelligenz generiert täuschend echte Hilfstexte und Fehlerdialoge in verschiedenen Sprachen. Die goldene Regel bleibt: Technische Anleitungen von nicht verifizierten Quellen niemals ohne Prüfung ausführen. Die Kombination aus Apples neuen Paste-Warnungen und erhöhter Wachsamkeit gilt derzeit als wirksamster Schutz gegen diese Form des Social Engineering.

de | wissenschaft | 69302355 |