Criminelen vervangen de cryptowallets van gehackte Mac-gebruikers door getrojaniseerde versies waar de aanvaller controle over heeft, zo meldt Microsoft. Het gaat in ieder geval om wallets van Ledger, Exodus en Trezor. De infectie begint met een ClickFix-aanval, waarbij gebruikers worden verleid tot het uitvoeren van malafide commando's op hun systeem. Bij ClickFix-aanvallen worden vaak zogenaamde CAPTCHA's gebruikt, maar bij deze aanvallen gaat het om zogenaamde instructies voor het vrijmaken van schijfruimte of het downloaden van bepaalde software.

In werkelijkheid zorgen de uitgevoerde commando's voor het downloaden van infostealer-malware. De malware steelt in de browser opgeslagen inloggegevens, notities, mediabestanden, Telegram-data, Keychain-informatie, iCloud-accountgegevens en allerlei soorten documenten en bestanden. De malware zoekt daarnaast naar de aanwezigheid van een aantal specifieke cryptowallets en steelt van deze applicaties de data.

Een andere opmerkelijke eigenschap is dat de malware in het geval van aanwezige Ledger, Exodus en Trezor wallets die vervangt door een getrojaniseerde versie waar de aanvaller de controle over heeft. "Deze getrojaniseerde cryptowallets vormen een serieus risico voor gebruikers die niet weten dat ze stiekem zijn gecompromitteerd en er gebruik van blijven maken en transacties mee uitvoeren", aldus het Microsoft. Het techbedrijf voegt toe dat Apple Xprotect, de in macOS ingebouwde virusdetectietool, de dreiging inmiddels kan detecteren. Daarnaast heeft Apple aan macOS 26.4 en nieuwer een maatregel toegevoegd om ClickFix-aanvallen tegen te gaan.