На macOS нет вирусов? Конечно. Пока вы сами не скопируете их в буфер — по приказу хакеров
NewsMakerСамое опасное — не код. А автоматизм, в который мы впадаем после сотни окон «Я согласен».
На первый взгляд — всего лишь проверка безопасности. На деле — умело замаскированная ловушка, ведущая прямо в руки киберпреступников. Исследователи компании CloudSEK зафиксировали новую волну атак на пользователей macOS, в которых используется социальная инженерия через поддельные страницы CAPTCHA и вредоносные скрипты. Заражение происходит по схеме, известной как ClickFix — метод, стремительно набирающий популярность среди распространителей шпионского ПО.
Текущая кампания построена вокруг вредоносной программы Atomic macOS Stealer (AMOS), уже знакомой экспертам по кибербезопасности. На этот раз её распространяют через сайты, выдающие себя за веб-страницы американского телеком-оператора Spectrum. Доменные имена вроде panel-spectrum[.]net и spectrum-ticket[.]net визуально имитируют настоящие адреса, что усиливает правдоподобие фальшивок.
При заходе на такую страницу жертве предлагается пройти проверку соединения через hCaptcha — якобы чтобы убедиться, что трафик не перехвачен. Пользователь кликает по знакомому флажку «Я человек» и сталкивается с ошибкой. Сайт утверждает, что проверка не удалась, и предлагает «альтернативную верификацию» — кнопку, по нажатию на которую в буфер обмена автоматически копируется команда.
Дальнейшие действия зависят от операционной системы, но цель всегда одна: убедить пользователя вручную запустить вредоносный скрипт. В случае macOS предлагается открыть терминал и вставить команду, которая запрашивает системный пароль. Под этим предлогом запускается цепочка загрузки: сначала выполняется скрипт на языке shell, затем загружается второй этап — AMOS.
AMOS — это информационный стилер, предназначенный для кражи паролей, автозаполнений, данных из криптокошельков и других конфиденциальных сведений. Скрипт активно использует стандартные инструменты macOS для обхода встроенных механизмов защиты, получения доступа к системным данным и запуска двоичных файлов без предупреждений.
Анализ показал, что исходный код содержит комментарии на русском языке, что указывает на возможное участие русскоязычных хакеров . Это косвенно подтверждает происхождение инфраструктуры атаки и методологии её реализации.
Внимание исследователей также привлекли многочисленные ошибки в логике вредоносных страниц. Например, пользователям Linux отображалась команда PowerShell, не предназначенная для этой платформы. Кроме того, и на Windows, и на macOS выдавалось указание нажать Win+R, что не имеет смысла на компьютерах Apple. Такие нестыковки говорят о спешке при создании инфраструктуры — вероятно, злоумышленники торопились запустить кампанию до обнаружения.
Однако даже с такими недоработками метод ClickFix продолжает работать: он опирается на повседневную привычку пользователей быстро «проталкивать» все проверки и предупреждения. Подделка CAPTCHA или окон cookie не вызывает тревоги, особенно если оформление совпадает с оригиналом до последнего пикселя.
Техника ClickFix уже доказала свою эффективность. За последний год фиксировались десятки её модификаций. В одном из эпизодов апреля 2025 года злоумышленники применили этот подход для доставки незаметных вредоносных файлов, которые, попав в систему, активировали горизонтальное перемещение по сети, собирали данные о конфигурации и отправляли информацию на внешний сервер через HTTP-запросы.
Платформы для доставки варьируются: от почтовых рассылок до взломанных сайтов. В кампании, выявленной Cofense, использовалась имитация Booking.com, нацеливавшаяся на гостиничный и ресторанный бизнес. Поддельные письма содержали ссылки на CAPTCHA-страницы, где за маской безопасности скрывались скрипты, запускающие трояны XWorm, DanaBot и стиралки PureLogs.
Иногда вредоносный скрипт подсовывается не через CAPTCHA, а через фальшивые баннеры согласия с куки. После клика на кнопку «Принять» загружается исполняемый файл — пользователь вручную запускает его, думая, что выполняет безобидную настройку.
В других случаях подделываются известные сервисы проверки, такие как Google reCAPTCHA и Cloudflare Turnstile. Злоумышленники внедряют вредоносный код в эти формы, а иногда вообще вставляют их в уже существующие взломанные сайты. Среди популярных векторами заражения были программы Lumma Stealer, StealC и полноценные RAT-инструменты вроде NetSupport.
CloudSEK и другие компании обнаружили, что атаки ClickFix активны в Европе, США, странах Ближнего Востока и Африки. География становится всё шире, а сценарии атаки — всё разнообразнее. Но цель всегда одна: обманом заставить пользователя запустить вредоносный код.
Главная уязвимость , которую эксплуатируют такие кампании, — не в программном обеспечении, а в поведении людей. Пользователь привыкает к бесконечным верификациям, проверкам и окнам согласия, и в какой-то момент перестаёт читать, что именно он подтверждает. На этом моменте и строится весь ClickFix: вместо уязвимостей системы эксплуатируется невнимательность и автоматизм.
Сложность защиты от такого рода атак заключается в том, что всё выглядит правдоподобно и привычно. Антивирусы не всегда способны отследить команды, которые пользователь запускает сам. Брандмауэры тоже не сработают, если скрипт использует штатные средства macOS или Windows.
ClickFix — это не технология, а приём. Он работает потому, что человек сам открывает дверь злоумышленнику, будучи уверенным, что закрывает её. Именно поэтому борьба с такими методами требует не столько новых фильтров, сколько изменений в пользовательской осознанности — и пересмотра доверия к якобы рутинным действиям в браузере.
На первый взгляд — всего лишь проверка безопасности. На деле — умело замаскированная ловушка, ведущая прямо в руки киберпреступников. Исследователи компании CloudSEK зафиксировали новую волну атак на пользователей macOS, в которых используется социальная инженерия через поддельные страницы CAPTCHA и вредоносные скрипты. Заражение происходит по схеме, известной как ClickFix — метод, стремительно набирающий популярность среди распространителей шпионского ПО.
Текущая кампания построена вокруг вредоносной программы Atomic macOS Stealer (AMOS), уже знакомой экспертам по кибербезопасности. На этот раз её распространяют через сайты, выдающие себя за веб-страницы американского телеком-оператора Spectrum. Доменные имена вроде panel-spectrum[.]net и spectrum-ticket[.]net визуально имитируют настоящие адреса, что усиливает правдоподобие фальшивок.
При заходе на такую страницу жертве предлагается пройти проверку соединения через hCaptcha — якобы чтобы убедиться, что трафик не перехвачен. Пользователь кликает по знакомому флажку «Я человек» и сталкивается с ошибкой. Сайт утверждает, что проверка не удалась, и предлагает «альтернативную верификацию» — кнопку, по нажатию на которую в буфер обмена автоматически копируется команда.
Дальнейшие действия зависят от операционной системы, но цель всегда одна: убедить пользователя вручную запустить вредоносный скрипт. В случае macOS предлагается открыть терминал и вставить команду, которая запрашивает системный пароль. Под этим предлогом запускается цепочка загрузки: сначала выполняется скрипт на языке shell, затем загружается второй этап — AMOS.
AMOS — это информационный стилер, предназначенный для кражи паролей, автозаполнений, данных из криптокошельков и других конфиденциальных сведений. Скрипт активно использует стандартные инструменты macOS для обхода встроенных механизмов защиты, получения доступа к системным данным и запуска двоичных файлов без предупреждений.
Анализ показал, что исходный код содержит комментарии на русском языке, что указывает на возможное участие русскоязычных хакеров . Это косвенно подтверждает происхождение инфраструктуры атаки и методологии её реализации.
Внимание исследователей также привлекли многочисленные ошибки в логике вредоносных страниц. Например, пользователям Linux отображалась команда PowerShell, не предназначенная для этой платформы. Кроме того, и на Windows, и на macOS выдавалось указание нажать Win+R, что не имеет смысла на компьютерах Apple. Такие нестыковки говорят о спешке при создании инфраструктуры — вероятно, злоумышленники торопились запустить кампанию до обнаружения.
Однако даже с такими недоработками метод ClickFix продолжает работать: он опирается на повседневную привычку пользователей быстро «проталкивать» все проверки и предупреждения. Подделка CAPTCHA или окон cookie не вызывает тревоги, особенно если оформление совпадает с оригиналом до последнего пикселя.
Техника ClickFix уже доказала свою эффективность. За последний год фиксировались десятки её модификаций. В одном из эпизодов апреля 2025 года злоумышленники применили этот подход для доставки незаметных вредоносных файлов, которые, попав в систему, активировали горизонтальное перемещение по сети, собирали данные о конфигурации и отправляли информацию на внешний сервер через HTTP-запросы.
Платформы для доставки варьируются: от почтовых рассылок до взломанных сайтов. В кампании, выявленной Cofense, использовалась имитация Booking.com, нацеливавшаяся на гостиничный и ресторанный бизнес. Поддельные письма содержали ссылки на CAPTCHA-страницы, где за маской безопасности скрывались скрипты, запускающие трояны XWorm, DanaBot и стиралки PureLogs.
Иногда вредоносный скрипт подсовывается не через CAPTCHA, а через фальшивые баннеры согласия с куки. После клика на кнопку «Принять» загружается исполняемый файл — пользователь вручную запускает его, думая, что выполняет безобидную настройку.
В других случаях подделываются известные сервисы проверки, такие как Google reCAPTCHA и Cloudflare Turnstile. Злоумышленники внедряют вредоносный код в эти формы, а иногда вообще вставляют их в уже существующие взломанные сайты. Среди популярных векторами заражения были программы Lumma Stealer, StealC и полноценные RAT-инструменты вроде NetSupport.
CloudSEK и другие компании обнаружили, что атаки ClickFix активны в Европе, США, странах Ближнего Востока и Африки. География становится всё шире, а сценарии атаки — всё разнообразнее. Но цель всегда одна: обманом заставить пользователя запустить вредоносный код.
Главная уязвимость , которую эксплуатируют такие кампании, — не в программном обеспечении, а в поведении людей. Пользователь привыкает к бесконечным верификациям, проверкам и окнам согласия, и в какой-то момент перестаёт читать, что именно он подтверждает. На этом моменте и строится весь ClickFix: вместо уязвимостей системы эксплуатируется невнимательность и автоматизм.
Сложность защиты от такого рода атак заключается в том, что всё выглядит правдоподобно и привычно. Антивирусы не всегда способны отследить команды, которые пользователь запускает сам. Брандмауэры тоже не сработают, если скрипт использует штатные средства macOS или Windows.
ClickFix — это не технология, а приём. Он работает потому, что человек сам открывает дверь злоумышленнику, будучи уверенным, что закрывает её. Именно поэтому борьба с такими методами требует не столько новых фильтров, сколько изменений в пользовательской осознанности — и пересмотра доверия к якобы рутинным действиям в браузере.