Malware per CAPTCHA: Betrugsmasche will Anwendern Terminalbefehl untermogeln
Wer viel im Netz unterwegs ist, sieht die Überprüfungen täglich: „Make sure that you are human“ oder ähnlich lauten die Überschriften. Oft genügt es, den Haken in der Auswahlbox zu setzen, um die Unterbrechung zu beenden. Gelegentlich folgt eine Aufgabe, die Menschen leichter fallen soll als einem Bot. Dann muss man Zebrastreifen oder Hydranten erkennen oder ähnliche Spiele absolvieren. Eine solche Routine nutzen Betrüger aus, um Nutzern Schadsoftware unterzuschieben: Anstatt Objekte im öffentlichen Raum zu erkennen, sollen Website-Besucher die Kommandozeile öffnen und einen Befehl ausführen. Das unter Windows bereits etablierte Betrugsszenario wurde nun auch in einer für macOS optimierten Variante
beobachtet.
Im Allgemeinen stellt das Öffnen eines Terminal-Fensters nebst Kopieren und Einfügen einer undurchschaubaren Textzeile eine hohe Hürde dar – insbesondere, da moderne Browser das skript-gestützte Kopieren von Textinhalten unterbinden: Anwender müssen durch eine Interaktion dem Befüllen der Zwischenablage zustimmen. Die
ClickFix getaufte Methode umgeht diese Hürde: Mit dem Klick auf die Auswahlbox wird dem Browser vorgegaukelt, dass der Anwender zugestimmt hat, dass ein Text in die Zwischenablage wandert.
Nutzer muss Aufträge umsetzenIm Anschluss folgt die Aufforderung, via Spotlight nach „Terminal“ zu suchen und das Dienstprogramm zu starten, um dann den Befehl via
+V einzufügen. Dann soll er die Ausführung des Kommandozeilenbefehls noch mit der Eingabetaste bestätigen. Bei erfahrenen Computernutzern gehen bei dieser Abfolge von Aufträgen alle Warnleuchten an. Die Masche setzt eher auf unerfahrene Nutzer, die durch tägliches Erfüllen sinnbefreiter ReCAPTCHA-Aufgaben abgestumpft wurden und deshalb die Gefahr nicht erkennen. Derer gibt es offensichtlich mehr als genug.
ClickFix ähnelt zunächst einer der üblichen Bot-Abwehrautomatismen, nutzt aber Zwischenablage und Terminal als Vehikel. (Quelle:
Reddit)
Zwischenablage einsehenDie Kommandozeile ist ein äußerst praktisches Werkzeug, doch Sie sollten dort nur Befehle ausführen, die Sie selbst nachvollziehen können. Blindes Einfügen von unverständlichen Befehlsketten aus obskuren Websites sollte ebenso vermieden werden wie ein trickreich in die Zwischenablage bugsierter Befehl. Im Ernstfall genügt ein Zwischenstopp im Finder: Hier findet sich im Menü „Bearbeiten“ der Eintrag „Zwischenablage einblenden“. Unter macOS 26 (Tahoe) gelingt das auch direkt über Spotlight: Nachdem Sie via
+
die Suchmaske geöffnet haben, bewegen Sie den Mauszeiger in deren Richtung und klicken auf den Button, der ganz rechts erscheint. So lassen sich (freiwillig oder unfreiwillig) kopierte Befehle überprüfen, ohne sie direkt in die Kommandozeile zu verpflanzen.
Unter macOS Tahoe gewährt Spotlight einen Blick in die Zwischenablage.