Onderzoekers hebben een ClickFix-aanval ontdekt die in plaats van de terminal de Script Editor gebruikt om macOS-gebruikers met malware te infecteren. Bij een ClickFix-aanval worden gebruikers verleid tot het uitvoeren van een commando in de terminal of command prompt. Het commando wordt automatisch naar het clipboard van de gebruiker gekopieerd. Die hoeft alleen de terminal te starten, het paste-commando uit te voeren gevolgd door enter. De aanvallers claimen dat deze stappen nodig zijn, bijvoorbeeld voor het oplossen van een zogenaamde captcha of het verhelpen van een ander probleem. In werkelijkheid zorgt het uitgevoerde commando ervoor dat er malware wordt geïnstalleerd.

In de ClickFix-aanval waarover securitybedrijf Jamf bericht begint de aanval via een nagemaakte Apple-pagina die zogenaamde instructies bevat om schijfruimte terug te krijgen. Daarbij wordt gebruikers verteld dat ze op een 'Execute' knop op de pagina moeten klikken en dat hierna de Script Editor wordt gestart. Deze knop maakt gebruik van het applescript:// URL scheme, waarmee de browser de Script Editor kan starten. De browser laat vervolgens een melding aan de gebruiker zien of hij wil dat de betreffende pagina de Editor opent. Wanneer de gebruiker dit doet wordt een vooraf ingevoerd script getoond, dat de gebruiker alleen nog hoeft uit te voeren. Het script installeert infostealer-malware op het systeem die allerlei wachtwoorden en andere inloggegevens steelt.

Het gedrag van de Script Editor hangt af van de gebruikte macOS-versie. Sinds macOS Tahoe 26.4 waarschuwt Apple gebruikers voor ClickFix-aanvallen. Bij deze versie moeten gebruikers het script eerst opslaan voordat het kan worden uitgevoerd, aldus de onderzoekers van Jamf. Die stellen dat de verschuiving van terminal naar Script Editor een kleine aanpassing met een aanzienlijke impact is, alsmede het kat-en-muisspel tussen aanvallers en verdedigers aantoont.