Neue Social-Engineering-Welle trifft macOS-Nutzer
Cyberkriminelle richten ihren Blick zunehmend auf Apple-Systeme. Neue Analysen zeigen, dass Angreifer gezielt macOS-Nutzer mit Social-Engineering-Techniken wie ClickFix und neuen Infostealer-Kampagnen attackieren – oft getarnt als scheinbar harmlose Interaktionen.
macOS galt lange als vergleichsweise sicherer Hafen gegenüber klassischer Malware. Doch aktuelle Untersuchungen der Sicherheitsanalysten von Sophos X-Ops zeigen, dass sich das Bedrohungsbild deutlich verändert. Besonders Social-Engineering-basierte Angriffe nehmen zu und nutzen gezielt das Vertrauen von Anwendern aus.
ClickFix greift gezielt macOS an
Im Mittelpunkt der aktuellen Analyse steht die Technik ClickFix. Dabei handelt es sich um eine Social-Engineering-Methode, bei der Angreifer Anwender dazu bringen, selbst schädliche Befehle auszuführen. Anders als bei klassischen Exploit-Angriffen nutzt diese Methode keine Sicherheitslücken im System, sondern ausschließlich menschliche Interaktion.
Typischerweise werden Nutzer dazu verleitet, Terminalbefehle zu kopieren und auszuführen. Diese Befehle wirken oft harmlos oder sind so verschleiert, dass ihre tatsächliche Funktion nicht erkennbar ist. In vielen Fällen installieren sie jedoch Schadsoftware auf dem System.
Gerade diese Strategie macht ClickFix besonders effektiv. Selbst moderne Authentifizierungsverfahren wie FIDO2 können solche Angriffe nicht verhindern, da der Anwender die Schadaktion eigenständig ausführt.
Neue Kampagnen mit macOS-Infostealern
Während ClickFix zunächst überwiegend Windows-Systeme traf, beobachten die Sophos-Analysten inzwischen eine deutliche Verschiebung. Bereits im Juni 2025 wurde eine Kampagne dokumentiert, bei welcher der Infostealer Atomic macOS eingesetzt wurde.
In den vergangenen drei Monaten registrierten die Experten drei weitere Kampagnen, die speziell auf macOS-Systeme abzielen. In diesen Fällen kam der Infostealer MacSync zum Einsatz.
Eine eindeutige Zuordnung zu einem einzelnen Angreifer ist bislang nicht möglich. Auffällig ist jedoch die rasche Weiterentwicklung der Angriffstechniken. Die beobachteten Kampagnen zeigen neue Taktiken und Anpassungen, die möglicherweise auf Ermittlungsmaßnahmen der Strafverfolgungsbehörden oder auf technologische Veränderungen reagieren.
ChatGPT als neuer Angriffsköder
Eine besonders interessante Entwicklung betrifft die verwendeten Social-Engineering-Köder. Während frühere Kampagnen häufig gefälschte Webseiten nutzten, die bekannte Unternehmen imitierten, beobachten die Forscher nun eine Verschiebung hin zu Kommunikationsplattformen.
In mehreren Fällen wurden Angriffe über scheinbare Interaktionen mit generativer künstlicher Intelligenz vorbereitet. Statt gefälschter Unternehmensseiten nutzten Angreifer ChatGPT-Konversationen als Ausgangspunkt für ihre Täuschungsversuche.
Diese Strategie eröffnet einen neuen Angriffswinkel. Während viele Nutzer inzwischen misstrauisch gegenüber verdächtigen Webseiten sind, wird die Kommunikation mit Sprachmodellen oft noch nicht als potenzielles Risiko wahrgenommen.
Technische Evolution der Malware
Neben neuen Social-Engineering-Techniken beobachten die Forscher auch eine deutliche Weiterentwicklung der Schadsoftware selbst: Frühere Varianten der MacSync-Malware verwendeten native MachO-Binärdateien. Die neueste Generation nutzt dagegen ein mehrstufiges Loader-as-a-Service-Modell. Dabei kommen dynamische AppleScript-Payloads sowie aggressive In-Memory-Techniken zum Einsatz.
Die Malware kann sogar legitime Systemdateien verändern, statt lediglich Anmeldedaten oder Schlüssel zu stehlen. Diese Entwicklung zeigt, dass sich die Malware-Autoren zunehmend an die Sicherheitsmechanismen von macOS anpassen.
Sicherheitsmythos macOS bröckelt
Die steigende Zahl solcher Kampagnen stellt eine weitere Erosion des lange gepflegten Sicherheitsmythos rund um Apple-Systeme dar.
„Früher galt die vorherrschende Meinung, dass macOS-Systeme im Vergleich zu Windows-Systemen einem geringeren Risiko für Malware-Infektionen ausgesetzt seien, da es über eine Reihe nativer Sicherheitsfunktionen verfügt“, erklärt Michael Veit, Cybersecurity-Experte bei Sophos.
Heute sei diese Annahme jedoch nicht mehr haltbar. Mainstream-Malware betreffe mittlerweile regelmäßig auch macOS-Nutzer, insbesondere Infostealer, die einen erheblichen Anteil der Angriffe ausmachen.
Die aktuellen ClickFix-Kampagnen zeigen laut Sophos deutlich, dass sich Angreifer zunehmend auf Apple-Systeme einstellen und ihre Methoden entsprechend weiterentwickeln. Für Unternehmen und Privatanwender bedeutet das: Auch macOS-Systeme benötigen inzwischen dieselbe Aufmerksamkeit in der Cyberabwehr wie klassische Windows-Umgebungen.
Der komplette, technisch vertiefende und mit Screenshots ausgestatte Beitrag ist hier zu finden.
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
