Аналітики Unit 42 з Palo Alto Networks виявили нову схему кібератак ClickFix, націлену на операційну систему macOS. Зловмисники використовують підроблені сторінки перевірки CAPTCHA, які змушують користувачів копіювати та запускати шкідливий скрипт у додатку Термінал. Після запуску команда завантажує файл диска DMG у тимчасову папку системи. Далі скрипт виконує команду hdiutil attach із прапорцем прихованого монтування, через що диск не відображається у Finder, а шкідливий додаток запускається автоматично.

Метою цієї операції є зараження пристрою трояном Atomic macOS Stealer. Цей вірус викрадає паролі з Keychain, кукі-файли та платіжні дані з популярних браузерів, а також спустошує криптовалютні гаманці. Дослідники зафіксували, що AMOS здатний підміняти офіційні додатки гаманців Ledger Live та Trezor Suite на модифіковані копії для прямої крадіжки активів.