So arbeitet die ClickFix-Masche – und so schützen Sie sich

Eine neue Malware-Familie für macOS sorgt für Aufsehen: Der Infostealer Shamos wird über gefälschte „Mac-Fixes“ verteilt, die als Hilfeseiten, Troubleshooting-Guides oder GitHub-Instructions auftreten. Hinter der Masche steckt laut Analysen die eCrime-Gruppe COOKIE SPIDER; Shamos gilt als Variante des bekannten Atomic macOS Stealers (AMOS). Sicherheitsforscher beobachteten seit Juni 2025 Angriffsversuche in mehr als 300 Umgebungen weltweit.

Was ist Shamos?

Shamos ist ein Informationsdieb (Infostealer) für macOS, der Zugangsdaten, Wallet-Dateien, Browser-Daten, Elemente aus der iCloud-Schlüsselbund-Verwaltung (Keychain) sowie Inhalte aus Apple Notes ausliest und exfiltriert. Die Autoren betreiben das Tool im Malware-as-a-Service-Modell, was Verbreitung und Weiterentwicklung beschleunigt.

So läuft die Attacke ab

Malvertising & SEO-Täuschung: Gesponserte Suchtreffer und täuschend echte „macOS-Help“-Seiten locken Betroffene auf Domains wie mac-safer[.]com oder rescue-mac[.]com. Dort werden „Schritt-für-Schritt-Fixes“ versprochen.
ClickFix-Social-Engineering: Die Seiten fordern auf, einen einzeiligen Terminal-Befehl zu kopieren und einzufügen – angeblich zur Fehlerbehebung. In Wahrheit lädt der Befehl ein Skript nach und startet die Infektion.
Nachladen & Tarnung: Das Kommando dekodiert eine URL (Base64) und zieht ein install.sh von icloudservers[.]com/gm/ nach; das Skript erfragt/erfasst das Benutzer-Passwort und lädt den Shamos-Binary (Mach-O) nach /tmp/.
Umgehung von Gatekeeper: Mit xattr wird die Quarantäne-Markierung entfernt, mit chmod die Ausführung erlaubt – so startet die Malware trotz macOS-Schutzmechanismen.

Fähigkeiten & Persistenz

Datendiebstahl: Shamos sucht gezielt nach Browser-Cookies und Zugangsdaten, Keychain-Inhalten, Apple-Notes-Daten und Krypto-Wallet-Dateien, verpackt die Funde zu out.zip und schickt sie per curl an die Angreifer.
Anti-Analyse & Aufklärung: Der Stealer führt Anti-VM-Prüfungen aus und nutzt AppleScript-Komponenten für Host-Reconnaissance.
Persistenz: Läuft Shamos mit sudo-Rechten, legt er die LaunchDaemon-Plist com.finder.helper.plist zur Autostart-Sicherung an. Zudem wurden Zusatz-Payloads beobachtet (u. a. Fake-Ledger Live und Botnet-Modul).

Größe der Kampagne und Zielauswahl

Zwischen Juni und August 2025 registrierten Forscher über 300 vereitelte Zustellversuche in Kundennetzwerken. Der Köder: Hilfeseiten und vermeintliche „Fixes“, oft via Anzeigenprofilen, die echte Shops imitieren. Die Angriffe trafen Nutzer in zahlreichen Ländern; bekannte eCrime-Regeln schließen Ziele in Russland/CIS typischerweise aus.

ClickFix im Überblick

ClickFix ist eine Social-Engineering-Taktik, bei der Webseiten den Inhalt der Zwischenablage unbemerkt befüllen und den Nutzer anweisen, diesen Code in Terminal oder Systemdialoge zu einfügen. So wird der Sprung vom Browser ins System erzwungen. Die Methode verbreitet sich in vielen Kampagnen – teils sogar als „Captcha-Ersatz“.

Bezug zu AMOS: Warum das relevant ist

Shamos baut auf Atomic macOS Stealer (AMOS) auf – einer Familie, die jüngst um Backdoor-Funktionen erweitert wurde. Das erhöht das Risiko persistenter Zugriffe und Nachlader.

Indikatoren & Spuren (Auswahl)

Malvertising-/Help-Domains: mac-safer[.]com, rescue-mac[.]com (gefälschte macOS-Anleitungen)
Nachlade-Host: icloudservers[.]com/gm/install.sh und .../update (defanged)
Persistenz: ~/Library/LaunchDaemons/com.finder.helper.plist (bei sudo)

Diese Artefakte stammen aus den technischen Analysen der Forscher. Hinweise können sich im Verlauf einer Kampagne ändern.

Erste Hilfe bei Verdacht (kurz & sicher)

Netz trennen (WLAN/LAN) und verdächtige Prozesse in der Aktivitätsanzeige prüfen.
Keine Terminal-Befehle aus „Fix-Anleitungen“ ausführen; keine unbekannten Installer öffnen.
Autostarts prüfen: Benutzer-LaunchDaemons und -Agents auf unbekannte Plists (z. B. com.finder.helper.plist) kontrollieren; verdächtige Einträge entfernen.
Passwörter & Tokens rotieren: Keychain/Passwörter, Browser-Sitzungen, 2FA-Tokens, Krypto-Wallets prüfen/erneuern.
Gerät mit vertrauenswürdigem EDR/AV scannen lassen; bei kompromittiertem Admin-Konto Neuaufsetzen erwägen.

Prävention: So schützen Sie sich nachhaltig

Nie Einzeiler ins Terminal einfügen, nur weil eine Webseite das fordert – echte Supportseiten fordern das nicht.
Sponsored-Suchtreffer meiden, wenn es um System-Fixes geht; stattdessen Apple Communities bzw. verifizierte Hersteller-Docs nutzen.
Zwischenablage-Missbrauch unterbinden (browserseitige Schutzmaßnahmen/Extensions im Unternehmensumfeld).
Least-Privilege: Alltagsarbeit im Standard- statt Admin-Konto; FileVault & Gatekeeper aktiv lassen.
Security-Awareness für macOS: Infostealer fragen Passwörter häufig per legitimer System-Dialoge ab – Sensibilisierung hilft.

Zeitlinie

20. August 2025: CrowdStrike berichtet über blockierte Shamos-Kampagnen (300+ Umgebungen, One-Liner-Delivery, Fake-Help-Sites).
22. August 2025: BleepingComputer beleuchtet die ClickFix-Verbreitung über „Fake Mac Fixes“ samt Technikdetails.

Fazit

Shamos kombiniert ausgeklügeltes Social Engineering (ClickFix) mit technischer Raffinesse (Gatekeeper-Umgehung, Anti-VM, Persistenz) – und nutzt die trügerische Autorität von „Hilfe-Seiten“ und Anleitungen. Wer keine Terminal-Befehle von Webseiten ausführt, gesponserte Troubleshooting-Ergebnisse meidet und grundlegende macOS-Hygiene beachtet, nimmt dieser Kampagne den entscheidenden Hebel.

Angebot

Ransomware und Cyber-Erpressung: Das…

Krisenfall Ransomware: Strategien für…

Mastering Network Forensics: A practical approach…

Letzte Aktualisierung am 16.08.2025 / Affiliate Links / Bilder von der Amazon Product Advertising API. Alle hier angezeigten Preise und Verfügbarkeiten gelten zum angegebenen Zeitpunkt der Einbindung und können sich jederzeit ändern. Der Preis und die Verfügbarkeit, die zum Kaufzeitpunkt auf Amazon.de angezeigt werden, sind maßgeblich. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.