Der Cyberraum ist ein ständiges Schlachtfeld, und gerade heute, am 18. Juni 2026, müssen wir uns mit einer neuen Bedrohung auseinandersetzen, die besonders Apple-Nutzer ins Visier nimmt. Sicherheitsforscher warnen vor der „ClickFix“-Malware, die von der nordkoreanischen Hackergruppe Sapphire Sleet entwickelt wurde. Diese Gruppe hat es auf Fachleute aus der Kryptowährungs-, Risikokapital- und Blockchain-Branche abgesehen. Wer dachte, dass nur Windows-Nutzer in Gefahr sind, sollte sich schleunigst umschauen!

Die ClickFix-Malware ist ein Meisterwerk der Täuschung. Anstatt sich durch klassische Dateispuren bemerkbar zu machen, tarnt sie sich als legitime Software-Updates für Anwendungen wie Zoom oder Microsoft Teams. Der Trick ist perfide: Nutzer laden vermeintliche Update-Dateien herunter, die dann eine mehrstufige Schadsoftware installieren. Eine gefälschte Systemupdate-App stiehlt Passwörter über manipulierte macOS-Dialogfenster, während die Malware die TCC-Datenbank manipuliert, um Schutzmechanismen auszuhebeln. So werden Daten wie Browserprofile, Schlüsselbunddaten und Kryptowährungs-Wallets über Telegram oder spezielle Netzwerkports abgezogen.

Ein Blick auf die Techniken

Die Komplexität dieser Angriffe wird von Microsoft und Netskope bestätigt, die einen Anstieg raffinierter Angriffe beobachten, die ohne klassische Dateispuren auskommen. Die Malware installiert sich als LaunchDaemon oder LaunchAgent mit dem Namen „com.apple.accountsd“ und nutzt dazu rund 25 kurzlebige Köder-Domains. Interessanterweise sind Systeme in Russland von diesen Angriffen ausgeschlossen – ein strategischer Schachzug, der Fragen aufwirft.

Ein weiteres besorgniserregendes Detail ist, dass die ClickFix-Methode nicht nur Apple-Systeme betrifft, sondern auch Windows. Hier nutzt die Gruppe Rapid Brigantine kompromittierte WordPress-Websites, um gefälschte Browser-Updates anzubieten. ESET hat einen Anstieg der Loader-Aktivitäten um 500 Prozent im ersten Halbjahr 2025 festgestellt – das sind alarmierende Zahlen! Und wenn wir schon bei Zahlen sind: Laut Malwarebytes machen ClickFix-ähnliche Loader über 50 Prozent aller Ladeaktivitäten aus. Das ist eine gewaltige Dominanz!

Neue Wege der Täuschung

Doch das ist noch nicht alles. Microsoft-Forscher beobachten eine sich entwickelnde Infostealer-Kampagne, die ebenfalls auf macOS-Nutzer abzielt. Diese aktuellen Kampagnen verwenden ClickFix-ähnliche Anweisungen, um Nutzer, die Hilfe bei macOS-Problemen suchen, zu ködern. Die schädlichen Befehle werden dabei auf Blogseiten und nutzergenerierten Plattformen versteckt, als wären sie ganz normale Systemdienstprogramme. Die Malware-Varianten, darunter Macsync und Shub Stealer, sammeln und exfiltrieren sensible Daten wie iCloud-Daten und Kryptowährungs-Wallet-Schlüssel.

Werbung
Hier könnte Ihr Advertorial stehen
Ein Advertorial bietet Unternehmen die Möglichkeit, ihre Botschaft direkt im redaktionellen Umfeld zu platzieren

Stellt euch vor, ihr ladet euch ein „Hilfsprogramm“ herunter, und am Ende ist es ein Trojaner, der eure wertvollsten Informationen stiehlt! Besonders perfide ist, dass einige dieser Kampagnen legitime Kryptowährungs-Wallet-Apps durch Trojaner-Versionen ersetzen. Die Angreifer setzen auf Social Engineering und tricksen die Nutzer, indem sie sie dazu bringen, Terminal-Befehle auszuführen, die im Hintergrund Malware herunterladen und ausführen.

Die Gefahren im Überblick

Cybersecurity-Forscher haben gleich mehrere ClickFix-Kampagnen identifiziert, die drei Malware-Loader nutzen: den BabaDeda Loader, den Lorem Ipsum Loader und den Potemkin. Besonders der BabaDeda Loader hat es in letzter Zeit auf Bildungseinrichtungen und Finanzorganisationen abgesehen. Hier wird die ClickFix-Methode verwendet, um Nutzer dazu zu bringen, schadhafte PowerShell-Befehle auszuführen – und das mit einer beeindruckenden Stealth-Technik. Die Angreifer sind clever und wendig, und die Bedrohung ist real.

Die aktuelle Situation erfordert ein gewisses Maß an Wachsamkeit. Nutzer sollten besonders auf verdächtige Downloads achten und sich über neue Sicherheitsfunktionen in macOS informieren. Apple hat am 15. Juni 2026 neue Sicherheitsfunktionen in macOS Tahoe 26.4 eingeführt, die vor verdächtigen Terminal-Befehlen warnen oder diese sogar blockieren. Ein kleiner Lichtblick in der Dunkelheit der Cyber-Bedrohungen!