Nieuws
image

Apple Keychain doelwit van ClickFix aanval op macOS-gebruikers

donderdag 23 april 2026, 10:21 door Redactie, 7 reacties

Onderzoekers hebben AppleScript-malware ontdekt die wachtwoorden, cookies en andere gegevens van macOS-gebruikers steelt. De malware wordt verspreid via een ClickFix-aanval, waarbij gebruikers worden verleid om een commando in de terminal uit te voeren.

De aanval begint met een website die gebruikers een CAPTCHA laat zien. Om de CAPTCHA op te lossen moeten gebruikers een commando in de terminal uitvoeren. In werkelijkheid download dit commando de malware. Een van de primaire doelen van de malware is om de inhoud van de macOS Keychain te bemachtigen. De Keychain bevat een grote hoeveelheid gevoelige informatie, waaronder opgeslagen wachtwoorden, WIFI-wachtwoorden, certificaten en private keys.

De macOS Keychain is standaard versleuteld met het login wachtwoord van de gebruiker. Om dit login wachtwoord te achterhalen maakt de malware gebruik van een popup-venster dat om het wachtwoord vraagt. Deze popup is zo gemaakt dat het lijkt op een legitiem venster van macOS. Wanneer gebruikers hun wachtwoord invoeren wordt het gebruikt om de inhoud van de Keychain te bemachtigen en naar de aanvallers te versturen.

Netskope adviseert macOS-gebruikers om te updaten naar macOS Tahoe 26.4 of macOS Sequoia. Deze versies bevatten een extra bescherming tegen ClickFix aanvallen waarbij gebruikers worden gewaarschuwd wanneer ze een potentieel gevaarlijk commando in de terminal proberen te pasten.

Reacties (7)
Reageer met quote
23-04-2026, 14:14 door Anoniem
Wie in godsnaam voert een commando uit om een CAPTCHA op te lossen? Dan moet je sowieso je bedenkingen hebben, toch?
Reageer met quote
23-04-2026, 15:52 door Anoniem
Is dit het beste wat ze kunnen doen om Mac gebruikers te verleiden om een script uit te voeren?
Bizar.
Reageer met quote
23-04-2026, 16:33 door Anoniem
Door Anoniem: Wie in godsnaam voert een commando uit om een CAPTCHA op te lossen? Dan moet je sowieso je bedenkingen hebben, toch?

Iemand bij Gemeente Epe

https://www.security.nl/posting/933873/Gemeente+Epe%3A+persoonsgegevens+bijna+alle+inwoners+gestolen+bij+aanval

Captcha's zijn er tegenwoordig in zoveel varianten, dat je er niet meer van staat te kijken.
Reageer met quote
23-04-2026, 16:46 door majortom - Bijgewerkt: 23-04-2026, 16:47
Door Anoniem:
Door Anoniem: Wie in godsnaam voert een commando uit om een CAPTCHA op te lossen? Dan moet je sowieso je bedenkingen hebben, toch?

Iemand bij Gemeente Epe

https://www.security.nl/posting/933873/Gemeente+Epe%3A+persoonsgegevens+bijna+alle+inwoners+gestolen+bij+aanval

Captcha's zijn er tegenwoordig in zoveel varianten, dat je er niet meer van staat te kijken.
Bij een Captcha verlaat ik meteen de website. Die dingen verzamelen veel te veel info als ze al niet gebruikt worden als AI training tool. Zie bijvoorbeeld https://prosopo.io/blog/google-privacy-nightmare/.
Reageer met quote
24-04-2026, 08:41 door Anoniem
Door Anoniem: Is dit het beste wat ze kunnen doen om Mac gebruikers te verleiden om een script uit te voeren?
Bizar.

Dat is dus een groot compliment voor de technische veiligheid van MacOS .

Qua hacking - als het werkt is het "het beste" , of in elk geval goed genoeg.

Je kunt supermoeilijke technische exploits, en het wurmen door heel obscure gaten , en sandbox-escape-cpu-bug-privilege-escalation "mooier" of "knapper" vinden , maar binnen is binnen.
Reageer met quote
24-04-2026, 09:06 door Anoniem
Door Anoniem:
Door Anoniem: Wie in godsnaam voert een commando uit om een CAPTCHA op te lossen? Dan moet je sowieso je bedenkingen hebben, toch?

Iemand bij Gemeente Epe

https://www.security.nl/posting/933873/Gemeente+Epe%3A+persoonsgegevens+bijna+alle+inwoners+gestolen+bij+aanval

Captcha's zijn er tegenwoordig in zoveel varianten, dat je er niet meer van staat te kijken.

Al zijn er 1 miljoen varianten.... nog steeds zou je nooit een code moeten uitvoeren en zeker niet in PowerShell... doe iets aan bewustwording of zet dit technisch dicht om misverstanden te voorkomen.... Dit kan en mag echt niet fout gaan.
Reageer met quote
24-04-2026, 09:44 door Briolet - Bijgewerkt: 24-04-2026, 09:52
Ik vraag me alleen af wie de Apple keychain nog gebruikt behalve een paar diehards zoals ikzelf. Apple pusht me al twee jaar om de wachtwoorden niet meer in de keychain op te slaan (dit zijn onderdelen van het oude programma sleutelhangertoegang), maar in hun nieuwe wachtwoord programma "wachtwoorden". Gelukkig werken beide nog steeds naast elkaar.

In het nieuwe programma kun je niet meer met individuele keychains werken, maar staan alle wachtwoorden in één bestand.

De macOS Keychain is standaard versleuteld met het login wachtwoord van de gebruiker. Om dit login wachtwoord te achterhalen maakt de malware gebruik van een popup-venster dat om het wachtwoord vraagt. Deze popup is zo gemaakt dat het lijkt op een legitiem venster van macOS. Wanneer gebruikers hun wachtwoord invoeren wordt het gebruikt om de inhoud van de Keychain te bemachtigen en naar de aanvallers te versturen.

Daarom houd ik ook van de oude keychains. Daar heb ik de belangrijkste wachtwoorden in een aparte keychain met een ander wachtwoord dan het inlogwachtwoord van de computer.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Salt Road Compromised Components