🍏macOS ClickFix: фишинг через AppleScript без загрузки файлов

🖥ClickFix 2.0 (теперь без explorer у windows) нацеливается на macOS — жертве показывается фейковая CAPTCHA и сообщение:
"Обнаружена подозрительная активность. Вставьте эту команду в Terminal для восстановления."

команда:
echo 'BASE64' | base64 -d | bash

🎹 Что делает payload:
• крадёт данные браузеров (Firefox, Chrome, Brave)
• собирает кошельки MetaMask, BNB, IndexedDB
• копирует cookies Safari, заметки, keychain
• ворует документы (.txt, .pdf, .docx и др.)
Всё упаковывается в /tmp/out.zip (через ditto) и отправляется на http://C2/log через curl.
После этого скрипт удаляет временные файлы, включая сам архив.

🌐Инфраструктура можно поискать на hunt.io:
• обнаружено более 50 серверов
• подозрительный порт 3333 с панелью (отдаёт 404 по умолчанию)
• SSH и iperf3 на 5201
• CORS-заголовки позволяют любой Origin и Cookie — можно красть сессии

😡Evasion:
• не требует .app/.pkg
• не содержит вложений
• всё запускается руками жертвы
• base64 -d | bash — ключевой индикатор

✍️Рекомендации:
• следить за osascript, curl, base64 в Terminal
• мониторить Clipboard-to-Terminal поведение
• учить пользователей не запускать команды из браузера
• ужесточить CORS-политики
• отслеживать трафик на нестандартные порты (3333, 5201)

🔗 https://hunt.io/blog/macos-clickfix-applescript-terminal-phishing

🦔THF 🚀

ClickFix на macOS — фишинг без файлов, стилер без скачивания, эксфиль без шума.
macOS больше не "безопасная платформа", особенно с такими атаками.
Следим за base64 -d | bash — это новый wscript.exe для Mac.