Mac под прицелом. Юзеры сами запускают вирус через Терминал и не замечают

Владельцы компьютеров Apple столкнулись с новой волной атак ClickFix, где заражение маскируется под обычную проверку CAPTCHA. Жертве предлагают открыть Терминал и вставить туда команду — якобы для подтверждения, что она не робот. Дальше macOS сама скачивает DMG-образ, тихо монтирует его и запускает похитителя данных Atomic macOS Stealer. Схема актуальна и для российских пользователей, так как поддельные страницы появляются на сайтах любых регионов.

Кампанию раскрыли аналитики Unit 42 из Palo Alto Networks. Фальшивая страница имитирует знакомый антибот-механизм, рядом размещают инструкцию с готовой командой для копирования, а сама атака фактически выполняется руками человека за компьютером. Российским пользователям macOS стоит держать это в голове, потому что локализованные версии подобных страниц уже встречаются в Рунете.

ClickFix за последний год превратился в один из самых раскрученных приёмов социальной инженерии. Сайты подсовывают поддельные ошибки браузера, системные предупреждения или ту самую CAPTCHA, а потом уговаривают человека скопировать и выполнить «исправление». В реальности эти строки запускают вредоносный код.

Для macOS схема стала заметно опаснее из-за полной автоматизации. Раньше подобные атаки рассчитывали на то, что пользователь сам откроет DMG и кликнет по приложению. Теперь одна строка в Терминале берёт всю работу на себя:

• скачивает образ диска через curl в тихом режиме;
• сохраняет файл во временную папку под случайным именем;
• монтирует том утилитой hdiutil со скрытием от Finder и рабочего стола;
• ищет внутри .app или .pkg на глубине до 3 каталогов;
• запускает найденный файл стандартной командой open.

Интересно, что владелец компьютера может вообще не заметить появления нового смонтированного тома, поскольку параметры hdiutil прячут его от глаз.

Исследователи разобрали конкретный образец с именем «s.01M0td.dmg». После монтирования открывался том с самоподписанным приложением «NNApp.app» из семейства Atomic macOS Stealer. AMOS заточен под кражу всего, что представляет ценность на устройстве Apple, — от паролей браузера до содержимого криптокошельков.

После запуска вредонос показывает пользователю поддельное окно ввода пароля, визуально похожее на штатный диалог macOS. Стоит человеку напечатать туда системный пароль, и он мгновенно уходит операторам кампании. Дальше начинается сбор данных, и список пострадавших компонентов получился внушительным:

• браузеры на Chromium — Google Chrome, Microsoft Edge, Brave, Opera, Arc, Vivaldi, CocCoc и Yandex Browser (последний крайне распространён среди российских пользователей);
• браузеры семейства Firefox — LibreWolf, SeaMonkey, Tor Browser, Waterfox и Zen Browser;
• криптокошельки — Exodus, Electrum, Atomic Wallet, Wasabi Wallet, Bitcoin Core, Litecoin Core, DashCore, Guarda, Binance Wallet, Dogecoin Wallet и TonKeeper;
• мессенджеры и заметки — Telegram Desktop, Discord, Apple Notes;
• системные хранилища и файлы — cookie Safari, Apple Keychain, документы PDF, TXT, RTF.

Из браузеров утекают cookie, базы авторизации, автозаполнение, сохранённые платёжные сведения и данные профиля. Для пользователей из РФ риск отдельно высокий потому, что Yandex Browser атакуется напрямую и наравне с Chrome — для злоумышленников разницы нет, чьим продуктом пользуется жертва.

Все собранные материалы AMOS упаковывает в ZIP-архив и отправляет на сервер операторов. Дальше украденные файлы спокойно разбирают вручную, выдёргивая пароли, seed-фразы, ключи API и переписку. Управляющая инфраструктура кампании прослеживается через домен svs-verificationdate[.]beer и IP-адрес 196.251.107[.]171.

Стоит обратить внимание на способность AMOS подменять легитимные установки Ledger Live и Trezor Suite вредоносными копиями — этот приём напрямую направлен на держателей аппаратных кошельков и потенциально превращает обычную кражу данных в полный увод криптовалюты.

Главная подлость схемы в том, что macOS не видит ничего подозрительного. С точки зрения системы пользователь открыл Терминал, ввёл команду и нажал Enter — то есть произвёл осознанное действие. Защитные механизмы Apple вроде Gatekeeper и проверки подписи приложений в этой цепочке практически не срабатывают, потому что обходятся через прямой запуск из смонтированного образа.

Российским владельцам Mac, которые используют криптокошельки, держат рабочие документы в облаке или работают с банковскими сервисами через браузер, такая атака грозит мгновенной потерей доступа к деньгам и аккаунтам. Локализованные русскоязычные варианты поддельной CAPTCHA уже мелькают на варезных сайтах, страницах с пиратскими сериалами и в рекламных редиректах — то есть именно там, где аудитория из РФ оказывается чаще всего.

Несколько правил, которые помогут не попасть в эту воронку:

• любая просьба открыть Терминал и вставить туда команду от стороннего сайта должна восприниматься как попытка атаки;
• настоящие CAPTCHA не требуют доступа к системной консоли — никогда;
• если смысл строки непонятен, её нельзя запускать, даже когда сайт обещает восстановление доступа;
• стоит проверить установленные кошельки Ledger Live и Trezor Suite на подлинность через официальные сайты производителей;
• после подозрительных действий с Терминалом разумно сменить пароли браузеров и проверить активные сессии в Telegram и Discord.

Ранее сообщалось, что специалисты выявили вредоносную кампанию, в рамках которой злоумышленники рассылают поддельные уведомления безопасности от имени Microsoft. Через такие письма распространяется троян удалённого доступа NarwhalRAT, позволяющий получать контроль над заражёнными устройствами и похищать данные пользователей. По данным исследователей, за атакой стоит северокорейская группировка ScarCruft, также известная под обозначением APT37, которая уже неоднократно фигурировала в отчётах по кибершпионажу и целевым атакам.

Эксперты редакции CISOCLUB уверены, что кампания ClickFix против macOS станет одним из самых тиражируемых сюжетов 2026 года, потому что показывает удручающе высокую эффективность социальной инженерии против самой защищённой потребительской ОС. Архитектурные механизмы Apple бессильны там, где пользователь добровольно вводит команду в системную консоль, и злоумышленники это уже выучили. Для российских пользователей риск удваивается из-за прицельной атаки на Yandex Browser и Telegram Desktop — два инструмента, которыми в РФ пользуются буквально все.

Редакция отмечает, что в ближайшие месяцы вариации этой схемы появятся под видом локализованных российских сервисов, поддельных страниц Госуслуг и фальшивых проверок банковских приложений. Единственная рабочая защита здесь не техническая, а поведенческая — отказ запускать что-либо в Терминале по подсказке с сайта.