В сети набирает обороты новая мошенническая кампания под названием ClickFix, нацеленная на пользователей компьютеров Mac. В её основе лежит использование фейковых окон проверки CAPTCHA, которые обманом заставляют людей самостоятельно загружать вредоносное программное обеспечение. Главная особенность этой схемы заключается в том, что жертвы собственноручно вводят опасные команды в системную утилиту «Терминал», тем самым открывая доступ к своим личным данным.
Как работает схема
Обычно системы верификации, такие как Cloudflare или Google reCAPTCHA, просят пользователя выбрать картинки с определёнными предметами или просто поставить галочку. Однако создатели ClickFix пошли другим путём, сыграв на привычке людей доверять подобным проверкам.
При посещении взломанных сайтов или клике по вредоносной рекламе перед пользователем появляется всплывающее окно, имитирующее стандартную проверку безопасности. Вместо привычного задания страница просит открыть системную утилиту (например, вызвать поиск Spotlight, найти «Терминал») и вставить туда скопированную команду. Для большей убедительности мошенники добавляют на страницы таймеры обратного отсчёта и даже видеоинструкции. В некоторых случаях вредоносный код копируется в буфер обмена автоматически с помощью JavaScript, что повышает шансы на успешное заражение.
После того как пользователь выполняет команду, компьютер скачивает и устанавливает вирус со стороннего сервера. В случае с macOS речь чаще всего идёт о вредоносной программе Atomic macOS Stealer (AMOS). Она способна похищать сохранённые пароли, файлы cookie из браузеров и данные криптовалютных кошельков.
Почему это работает и как развивается угроза
Специалисты по кибербезопасности впервые зафиксировали активность ClickFix в 2024 году, когда хакеры только начали тестировать метод доставки вирусов через копирование и вставку текстовых данных. Изначально кампания была нацелена исключительно на операционные системы Windows, но теперь злоумышленники адаптировали её для экосистемы Apple. Современные вредоносные сайты умеют определять операционную систему посетителя и выдавать инструкции, написанные специально для macOS.
По данным исследователей, с 2024 по 2025 год количество атак в стиле ClickFix выросло более чем на 500%. Аналитики уже классифицируют этот метод как одну из самых быстроразвивающихся угроз в сфере социальной инженерии в интернете.
Главная проблема заключается в том, что традиционные антивирусные системы и встроенная защита macOS часто оказываются бессильны перед такими атаками. Злоумышленники не используют специализированные загрузчики, которые легко распознаются защитными алгоритмами, а полагаются на легальные системные инструменты — такие как PowerShell в Windows или «Терминал» в macOS . Поскольку команду в доверенной утилите выполняет сам пользователь, защитное программное обеспечение воспринимает это как стандартное и санкционированное действие.
Как защитить свои данные
Системы безопасности Apple могут предотвратить фоновое заражение, но они не способны остановить пользователя, который осознанно (пусть и по ошибке) вводит вредоносный код.
Главное правило кибергигиены в данном случае звучит максимально просто: настоящие системы проверки CAPTCHA никогда не требуют открывать «Терминал», PowerShell или любую другую командную строку для подтверждения того, что вы живой человек.
Если окно верификации просит вас скопировать и выполнить какую-либо системную команду, это гарантированно мошенническая схема. Единственно верное действие в такой ситуации — немедленно закрыть вкладку. Кроме того, эксперты рекомендуют регулярно обновлять операционную систему и браузеры, а также критически относиться к любым неожиданным всплывающим окнам, требующим от вас нестандартных действий. Ведь ClickFix полагается исключительно на обман, а не на уязвимости в программном обеспечении.
