Каждый из нас хотя бы раз в день подтверждает, что он не робот. Капчи, галочки Cloudflare, выбор картинок с велосипедами — всё это давно стало частью привычного интернета. Но теперь такая привычка играет против пользователей Mac — и это не паранойя: вредоносное ПО для Mac уже заражало десятки тысяч компьютеров, а современные схемы становятся только изощрённее. Новая атака ClickFix маскируется под обычную проверку CAPTCHA и обманом заставляет людей самих установить вредоносное ПО через Terminal.
Вирус под маской CAPTCHA: как хакеры заманивают пользователей Mac в Terminal
❗ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
Что такое ClickFix и чем эта атака опасна для Mac
ClickFix — это новый вектор атаки, который сочетает поддельные окна проверки «я не робот» с доставкой вредоносного кода. Жертве показывают страницу, неотличимую от стандартного экрана безопасности Cloudflare или Google reCAPTCHA. Но вместо привычной просьбы отметить картинки или поставить галочку, страница предлагает открыть системный инструмент и вставить туда команду.
Предложение пройти «проверку» выглядит как системное уведомление, а потому вызывает доверие. Изображение: securelist.ru
Дело в том, что запуск такой команды загружает вредоносное ПО с удалённого сервера и запускает его прямо на устройстве. Украденные данные могут включать пароли, информацию из браузера и криптовалютные кошельки. Специалисты по безопасности отмечают, что техника быстро распространяется через заражённые сайты, вредоносные рекламные объявления и фишинговые кампании. Если вы хотите снизить риски — регулярная очистка кеша в Safari, Chrome и Firefox усложнит злоумышленникам работу.
Классические CAPTCHA-системы придуманы, чтобы отличать людей от ботов. Многие сайты используют проверки вроде Cloudflare и Google reCAPTCHA для фильтрации автоматического трафика. Атакующие эксплуатируют именно привычку пользователей к этим экранам безопасности. Поддельные страницы проверки появляются после перехода на заражённый сайт или клика по вредоносной рекламе.
Можно ли обнаружить вирус ClickFix
Исследователи впервые зафиксировали кампании ClickFix в 2024 году, когда злоумышленники начали экспериментировать с методами доставки вредоносного кода через копирование и вставку. В отличие от классических вирусов, которые полагаются на загрузку файлов или вложения, ClickFix убеждает жертв самостоятельно запустить вредоносную команду. Отсутствие очевидных загрузок помогло этой тактике быстро распространиться.
Масштаб проблемы впечатляет. По данным аналитиков, количество обнаружений ClickFix-атак выросло более чем на 500% между 2024 и 2025 годами. Эксперты по безопасности считают эту технику одной из самых быстрорастущих угроз в области социальной инженерии.
Рост на 500% за год — такими темпами не может похвастаться ни один стартап. К сожалению, хакерам инвесторы не нужны
Новейшие версии взломов через «капчу» стали значительно изощрённее. Поддельные CAPTCHA-страницы теперь используют таймеры обратного отсчёта и видеоинструкции, чтобы пошагово провести жертву через процесс заражения. Другие варианты даже применяют JavaScript для автоматического копирования вредоносных команд в буфер обмена пользователя, что повышает вероятность успешного заражения.
❗ПОДПИСЫВАЙСЯ НА ТЕЛЕГРАМ-КАНАЛ СУНДУК АЛИБАБЫ. ТАМ КАЖДЫЙ ДЕНЬ ВЫХОДЯТ ПОДБОРКИ САМЫХ ЛУЧШИХ ТОВАРОВ С АЛИЭКСПРЕСС
Поэтому ClickFix стало так сложно обнаружить. Примечательно, что первые вирусы для Mac на чипе M1 появились по той же причине — защита macOS рассчитана на программные уязвимости, а не на действия самого пользователя.
Как ClickFix заражает Mac
Интересно, что первые зловреды ClickFix были нацелены на Windows, но исследователи теперь фиксируют варианты, разработанные специально для macOS. Например, некоторые вредоносные страницы определяют операционную систему посетителя и показывают инструкции, адаптированные для пользователей Mac.
Схема атаки выглядит так: жертву просят нажать Command-Space, чтобы открыть Spotlight, затем запустить Terminal и вставить скопированную с веб-страницы команду. После выполнения команда может установить вредоносное ПО для кражи данных, например Atomic macOS Stealer. Этот зловред способен похищать учётные данные браузера, cookies и данные криптовалютных кошельков с заражённых Mac.
Terminal — мощный инструмент. Но в неумелых руках он может стать воротами для злоумышленников
Вот что важно понимать: Mac не защищены от таких атак, потому что ClickFix полагается на поведение пользователя, а не на программные уязвимости. Встроенный антивирус macOS может предотвратить заражение, но он не остановит человека, который сознательно выполняет вредоносную команду. Проще говоря, это не взлом системы — это взлом психологии, ведь с технической точки зрения пользователь сам запустил легитимную программу и сам ввёл команду.
Как защититься от поддельных CAPTCHA и атак ClickFix
Самый надёжный признак подделки прост. Настоящие CAPTCHA-системы никогда не просят пользователей открывать Terminal, PowerShell или любой другой командный интерфейс и вставлять туда команды для прохождения проверки.
Если окно верификации предлагает запустить команды или вставить текст в системный инструмент — перед вами почти наверняка вредоносная страница. Самый безопасный ответ — немедленно закрыть вкладку.
❗ПОДПИСЫВАЙСЯ НА КАНАЛ AppleInsider.ru В МЕССЕНДЖЕРЕ MAX. ТАМ КУДА БОЛЬШЕ КОНТЕНТА, ЧЕМ НА САЙТЕ, И РАБОТАЕТ ОН ДАЖЕ НА СТОЯНКАХ
Поддельные CAPTCHA чаще всего появляются на взломанных сайтах, в вредоносных рекламных объявлениях или на фишинговых страницах, имитирующих легитимные проверки безопасности. Не стоит взаимодействовать с неожиданными запросами на верификацию или подозрительными всплывающими окнами.
Обновление браузеров и операционных систем снижает риск, но этим защита не исчерпывается — следить за тем, что собирают о вас приложения на Mac, тоже стоит. Ведь главная защита — осведомлённость, потому что атаки ClickFix полагаются на обман, а не на программные уязвимости.
❗️Узнайте также: Studio Display (XDR): первые тесты новых дисплеев Apple, которые изменят вашу работу
Атаки ClickFix — отличное напоминание о том, что самая надёжная система безопасности бесполезна, если пользователь сам открывает дверь злоумышленникам. Никакой антивирус не поможет, если человек собственноручно вставляет вредоносный код в Terminal. Расскажите об этом тем, кто не читает статьи о кибербезопасности — именно такие люди чаще всего становятся жертвами.
