ClickFix-aanval gebruikt Script Editor om macOS-gebruikers te infecteren

In dit artikel:

Onderzoekers van Jamf ontdekten een variant op de zogeheten ClickFix-aanval waarbij aanvallers niet de Terminal, maar de Script Editor gebruiken om macOS-systemen met malware te besmetten. Gebruikers krijgen via een nagemaakte Apple-webpagina het verzoek op een “Execute”-knop te klikken; die knop gebruikt het applescript://-URL‑schema om de Script Editor te openen en toont een kant-en-klaar script dat, wanneer uitgevoerd, een infostealer installeert die wachtwoorden en andere inloggegevens rooft.

De aanpak maakt slim gebruik van de browserprompt die vraagt of de pagina de Script Editor mag openen, waardoor veel mensen geneigd zijn door te klikken. Sinds macOS Tahoe 26.4 waarschuwt Apple expliciet voor dit type misleiding en wordt het script eerst opgeslagen voordat het uitgevoerd kan worden, wat de kansen voor de aanvaller verkleint. Jamf noemt de verschuiving van Terminal naar Script Editor een kleine maar effectieve aanpassing in het voortdurende kat‑en‑muis‑spel tussen aanvallers en verdedigers. Advies: voer geen voorgeschreven commando’s of scripts uit van onbekende bronnen, houd macOS up‑to‑date en controleer verdachte pagina’s zorgvuldig.